Che cos'è l'ingegneria sociale? È una forma di attacco informatico che prevede l'utilizzo di manipolazioni psicologiche e inganni per creare relazioni, sfruttare la fiducia e ottenere l'accesso a dati o informazioni. L'obiettivo dell'ingegneria sociale è quello di indurre le persone a divulgare informazioni sensibili, come password e dettagli di rete, facendo credere loro che stanno interagendo con qualcuno di cui si fidano. Gli analisti della sicurezza hanno confermato che oltre il 70% dei cyberattacchi che avvengono su Internet ogni anno sono attacchi di social engineering.
In alcuni casi, gli ingegneri sociali cercheranno anche di farvi scaricare sul vostro computer, senza che ve ne accorgiate, del malware, un software che può essere utilizzato per scopi dannosi.
I punti chiave da prendere in considerazione
- L'ingegneria sociale utilizza la manipolazione psicologica e sfrutta la fiducia, piuttosto che l'hacking tecnico, per ingannare le vittime e indurle a rivelare informazioni sensibili o a eseguire azioni.
- I vettori di attacco più comuni sono il phishing (e-mail), il vishing (chiamate vocali), lo smishing (SMS), l'adescamento (esche) e il pretexting (creazione di falsi scenari).
- Il phishing è la forma più diffusa, che spesso prevede l'invio di e-mail camuffate da comunicazioni legittime per rubare credenziali o consegnare malware.
- Fate attenzione alle richieste non richieste di informazioni personali, alle richieste urgenti, alle offerte che sembrano troppo belle per essere vere e verificate l'identità del richiedente attraverso canali separati.
- Proteggetevi attraverso una combinazione di misure tecniche come l'autenticazione a più fattori e l'autenticazione delle e-mail (DMARC, SPF, DKIM), e di pratiche comportamentali come la formazione degli utenti e una forte igiene delle password.
Che cos'è l'ingegneria sociale: Definizione
L'ingegneria sociale consiste nel manipolare le persone affinché compiano azioni o divulghino informazioni riservate, spesso sfruttando fattori psicologici come la fiducia, la curiosità o la disponibilità. Si tratta di una forma di hacking, ma invece di introdursi tecnicamente nei computer, gli ingegneri sociali cercano di accedervi inducendo i dipendenti a fornire informazioni o a scaricare malware. Un ingegnere sociale può rendervi complici inconsapevoli utilizzando una manipolazione di alto livello per ottenere ciò che l'attaccante vuole.
Proteggetevi dall'ingegneria sociale con PowerDMARC!
Tecniche di ingegneria sociale: Come funziona l'ingegneria sociale?
Gli ingegneri sociali utilizzano diverse tattiche e canali per raggiungere i loro obiettivi. L'aggressore potrebbe attirare l'utente in una conversazione che si trasforma in un interrogatorio. I metodi più comuni includono:
- Impersonificazione attraverso vari canali: L'ingegneria sociale può essere effettuata per telefono (vishing), via e-mail (phishing) o tramite messaggi di testo (smishing). Un social engineer può chiamare un'azienda e chiedere l'accesso a un'area riservata, oppure può impersonare una persona affidabile (come l'assistenza IT, un collega o persino le forze dell'ordine) per convincere qualcun altro ad aprire un account di posta elettronica, fornire credenziali o concedere l'accesso per suo conto.
- Truffe dell'help desk/assistenza: Gli aggressori possono affermare di chiamare dall'help desk di un'azienda e richiedere l'accesso remoto per risolvere un problema sul computer o sulla rete. Oppure potrebbero affermare di aver bisogno della vostra password o di altre informazioni personali, come le credenziali bancarie, per risolvere un problema con il vostro conto corrente.
- Pretestuosità: Si tratta di creare uno scenario o una storia inventata (un pretesto) per ottenere la fiducia della vittima e convincerla a divulgare informazioni o eseguire un'azione. Ad esempio, un aggressore potrebbe impersonare un cliente o un dipendente e inventare una storia ipotetica per giustificare la necessità di ottenere informazioni aziendali sensibili, spesso tramite telefonate.
- Adescamento: Gli aggressori attirano le vittime con offerte allettanti, come download gratuiti, premi o pubblicità accattivanti ("Guadagna 1000 dollari all'ora!"). Cliccare su queste esche spesso conduce a siti web dannosi o avvia il download di malware. Se un'offerta sembra troppo bella per essere vera, è probabile che lo sia.
- Tailgating/Piggybacking: Un aggressore segue una persona autorizzata in un'area fisica riservata senza le dovute credenziali.
- Shoulder Surfing: Osservare qualcuno da vicino (ad esempio, guardandolo alle spalle) per rubare informazioni riservate come password o PIN mentre vengono inserite.
- Truffe romantiche: Gli aggressori adottano false identità online per costruire relazioni romantiche con le vittime, guadagnando la loro fiducia prima di manipolarle o derubarle. Queste truffe possono essere finanziariamente devastanti.
- Impersonificazione delle forze dell'ordine: In alcuni casi, i social engineer si fingono addirittura agenti delle forze dell'ordine e minacciano azioni legali se vi rifiutate di soddisfare le loro richieste di informazioni. Sebbene sia importante per le aziende prendere sul serio queste minacce, ricordate che le autorità legittime di solito non chiedono password o dettagli finanziari sensibili per telefono o via e-mail!
Scopo dell'ingegneria sociale
L'ingegneria sociale è spesso utilizzata negli attacchi di phishing, ovvero messaggi di posta elettronica che sembrano provenire da una fonte attendibile ma che in realtà mirano a rubare le informazioni personali o a distribuire malware. Le e-mail contengono solitamente un allegato con software dannoso (spesso chiamato malware) o link a siti web dannosi che infettano il computer se aperti o cliccati.
L'obiettivo dell'ingegneria sociale è sempre lo stesso: ottenere l'accesso a qualcosa di prezioso senza dover lavorare per ottenerlo (dal punto di vista dell'hacking tecnico). Gli obiettivi comuni includono:
1. Rubare informazioni sensibili
Gli ingegneri sociali possono cercare di indurvi a fornire la vostra password e le credenziali di accesso (come il vostro nome utente/indirizzo e-mail) in modo da poter accedere al vostro account di posta elettronica o al vostro profilo sui social media, dove possono rubare informazioni personali come i numeri delle carte di credito e le informazioni sui conti bancari da transazioni precedenti. Potrebbero anche prendere di mira segreti aziendali, dati dei clienti o proprietà intellettuale. Potreste sapere come vendere su Instagram, ma siete sufficientemente preparati per proteggere la vostra piccola impresa e il vostro account dagli ingegneri sociali?
2. Furto d'identità
Potrebbero anche utilizzare queste informazioni per assumere l'identità della vittima e svolgere attività dannose spacciandosi per lei, come richiedere credito a nome della vittima, effettuare acquisti fraudolenti o accedere ad altri conti.
3. Frode finanziaria
Gli aggressori mirano a rubare direttamente il denaro, spesso attraverso truffe che prevedono fatture false (come quella che è costata a Barbara Corcoran quasi 400.000 dollari), richieste di bonifico bancario (frode del CEO), finte vincite di premi che richiedono un pagamento anticipato o l'accesso ai conti bancari.
4. Accesso non autorizzato
L'obiettivo potrebbe essere quello di ottenere l'accesso a una rete, a un sistema o a un luogo fisico riservati per condurre ulteriori attacchi, spionaggio o sabotaggio.
Imparare perché i cyberattaccanti utilizzano comunemente l'ingegneria sociale.
Come identificare un attacco di ingegneria sociale?
1. Fidatevi del vostro istinto
Se si ricevono e-mail, messaggi o telefonate che suonano sospetti, creano un senso di urgenza o danno l'impressione di essere "fuori luogo", non fornire alcuna informazione e non intraprendere azioni immediate. Verificate la richiesta attraverso un canale di comunicazione separato e affidabile (ad esempio, chiamate direttamente il numero ufficiale della vostra azienda, verificate con la persona che si suppone abbia inviato la richiesta attraverso un metodo di contatto noto).
2. Non inviate prontamente i vostri dati personali
Siate estremamente cauti se qualcuno vi chiede il vostro numero di previdenza sociale, password, dettagli finanziari o altre informazioni private, soprattutto se non richieste. Le organizzazioni legittime raramente chiedono dati sensibili via e-mail o telefono. Si consiglia di non fornire alcuna informazione a meno che non sia assolutamente necessario e che non si sia verificata la legittimità della richiesta e l'identità del richiedente.
3. Richieste insolite senza contesto o verifica
I social engineer spesso fanno richieste insolite o di grandi dimensioni (come bonifici, permessi di accesso, dati sensibili) senza fornire un contesto adeguato o seguire le procedure stabilite. Se qualcuno chiede denaro o altre risorse senza spiegare in modo convincente il motivo per cui ne ha bisogno o se la richiesta sembra fuori dalla norma o aggira i normali canali, probabilmente c'è qualcosa di sospetto. Verificate sempre tali richieste attraverso i canali ufficiali prima di soddisfarle.
4. Controllare i dettagli e i link del mittente
Nelle e-mail, esaminate attentamente l'indirizzo "Da" e l'indirizzo "Percorso di ritorno"; gli aggressori spesso utilizzano indirizzi leggermente errati o simili a quelli legittimi(domain spoofing). Passate il mouse sui link prima di fare clic per vedere l'URL di destinazione effettivo; fate attenzione se sembra sospetto o non corrisponde al sito web previsto. Fate attenzione alle e-mail con saluti generici, errori grammaticali o di ortografia.
5. Attenzione alle offerte allettanti e all'urgenza
Siate scettici nei confronti di offerte che sembrano troppo belle per essere vere (ad esempio, la vincita di una lotteria a cui non avete partecipato, sconti enormi da fonti sconosciute) o di messaggi che creano un forte senso di urgenza o di paura (ad esempio, "Il vostro conto verrà chiuso se non agite subito"). Si tratta di tattiche di manipolazione comuni.
Ecco alcuni esempi specifici di situazioni potenzialmente sospette:
- Ricevere un'e-mail da qualcuno che dichiara di provenire dal vostro reparto IT e che vi chiede di reimpostare la password tramite un link o di fornirla in un'e-mail o in un messaggio di testo.
- Ricevere un'e-mail o una chiamata non richiesta da parte di qualcuno che dichiara di provenire dalla vostra banca e che vi chiede informazioni personali, come il numero di conto, il codice PIN o la password. Ricordate che la vostra banca non vi chiederà quasi mai queste informazioni in questo modo.
- La richiesta di informazioni sensibili sull'azienda (ad esempio, dati sui dipendenti, dati finanziari) da parte di qualcuno che afferma di provenire dal dipartimento HR dell'azienda o da un dirigente, soprattutto se la richiesta sembra insolita o urgente.
- Vedere annunci online o ricevere messaggi che offrono premi o offerte irrealistiche che richiedono di cliccare su un link o di fornire informazioni personali.
Attacchi di social engineering via e-mail
L'e-mail rimane un canale primario per l'ingegneria sociale. I tipi più comuni includono:
E-mail di phishing - Sembrano provenire da una fonte legittima (banche, servizi popolari, agenzie governative) ma in realtà cercano di indurre l'utente ad aprire un allegato dannoso, a visitare una falsa pagina di login per rubare le credenziali o a cliccare su un link che installa un malware. Il phishing è responsabile della maggior parte delle violazioni di dati.
Spear phishing - Gli attacchi di phishing sono attacchi altamente mirati diretti a persone o organizzazioni specifiche. Gli aggressori ricercano i loro obiettivi e utilizzano informazioni personalizzate (nome, titolo di lavoro, interessi, attività recenti) per far sembrare le e-mail più credibili e convincenti.
Whaling - Si tratta di un tipo di spear phishing che prende di mira specificamente persone di alto profilo all'interno di un'organizzazione, come dirigenti o membri del consiglio di amministrazione ("balene"), a causa del loro alto livello di accesso e autorità.
Frode del CEO / Compromissione della posta elettronica aziendale (BEC) Frode dell'amministratore delegato è un tipo di truffa di phishing o spear phishing che implica l'impersonificazione di un amministratore delegato o di un altro dirigente di alto livello, spesso incaricando i dipendenti (in genere del settore finanziario o delle risorse umane) di eseguire azioni urgenti come l'avvio di bonifici bancari, la modifica dei dettagli delle buste paga o l'invio di informazioni sensibili.
Domain Spoofing - Gli aggressori falsificano l'indirizzo del mittente per far sembrare che un'e-mail provenga da un dominio aziendale legittimo, manipolando le vittime affinché si fidino del contenuto dell'e-mail. L 'implementazione del DMARC può aiutare a prevenire lo spoofing diretto del dominio.
Imparare a conoscere altri tipi di ingegneria sociale attacchi.
Come prevenire l'ingegneria sociale?
La prevenzione dell'ingegneria sociale richiede una combinazione di controlli tecnici e di consapevolezza degli utenti. Ecco alcuni suggerimenti su come prevenire gli attacchi di social engineering e proteggere voi stessi e la vostra organizzazione:
- Installare e mantenere il software di sicurezza: Assicuratevi di avere un buon software antivirus e anti-malware installato su tutti i vostri dispositivi e computer. Mantenete questi programmi, così come il sistema operativo e le applicazioni, aggiornati con le ultime patch per proteggervi dalle vulnerabilità note.
- Siate scettici nei confronti delle comunicazioni non richieste: Non aprite e-mail o allegati sospetti, soprattutto se provenienti da persone che non fanno parte della vostra cerchia di fiducia o che non conoscete. Tra questi rientrano anche i messaggi di posta elettronica che si spacciano per quelli della vostra banca, della società di carte di credito o di altri servizi, se sembrano insoliti o se chiedono informazioni sensibili.
- Verificare i link e i mittenti: Non cliccate sui link contenuti nelle e-mail o nei messaggi se non siete sicuri che siano sicuri, anche se sembrano provenire da una persona che conoscete (il suo account potrebbe essere compromesso). Passare il mouse sui link per controllare l'URL di destinazione. In caso di dubbio sulla legittimità di un'e-mail, contattate direttamente il mittente tramite un canale di comunicazione noto e separato (come telefono o SMS) invece di rispondere all'e-mail sospetta o di cliccare sui link al suo interno. Ricontrollate sempre l'indirizzo di posta Da e l'indirizzo del percorso di ritorno.
- Praticate una forte igiene delle password: Utilizzate password forti e uniche per diversi account. Cambiatele regolarmente. Evitate di condividere le password o di scriverle dove altri possano trovarle.
- Diffidare di chiamate/messaggi non richiesti: Fate attenzione alle telefonate non richieste (vishing) o ai messaggi di testo (smishing) che offrono qualcosa di "troppo bello per essere vero" (come premi gratuiti, opportunità di investimento, avvisi urgenti). Non fornite informazioni personali al telefono a meno che non siate stati voi a iniziare la chiamata e sappiate che state parlando con un rappresentante legittimo. Considerate l'utilizzo di applicazioni per l'identificazione del chiamante.
- Abilitare l'autenticazione a più fattori (MFA/2FA): Utilizzare l'autenticazione a due fattori ogni volta che è possibile. Questo aggiunge un ulteriore livello di sicurezza: anche se qualcuno ruba la vostra password, avrà bisogno di un'altra informazione (come un codice una tantum inviato al vostro telefono) per accedere al vostro account.
- Implementare l'autenticazione delle e-mail: Impostare i protocolli di autenticazione delle e-mail come SPF, DKIM e DMARC per il vostro dominio. La configurazione di DMARC con un criterio di p=rifiuto aiuta a proteggere i canali e-mail dallo spoofing del dominio diretto, dagli attacchi di phishing e dall'abuso del dominio.
- Accesso fisico sicuro: Fate attenzione ai pedinamenti e assicuratevi che le informazioni sensibili non siano facilmente visibili a chi naviga da dietro. Chiudete il computer quando vi allontanate.
- Limitare la condivisione di informazioni online: Fate attenzione alla quantità di informazioni personali che condividete sui social media e su altre piattaforme pubbliche, perché gli aggressori possono usare queste informazioni per lo spear phishing o il pretexting.
- Navigare in sicurezza: Non navigate su siti web che non sono protetti da una connessione HTTPS (cercate l'icona del lucchetto e "https://" nella barra degli indirizzi), soprattutto quando inserite informazioni sensibili.
- Educare e formare: Sensibilizzate l'organizzazione e istruite voi stessi e i dipendenti sui tipi più comuni di attacchi di social engineering, sulle tattiche utilizzate e sui segnali di allarme. Una formazione regolare può ridurre significativamente la suscettibilità. Pensate due volte prima di fidarvi di persone con cui interagite online e che non conoscete nella vita reale.
- Stabilire procedure chiare: Implementare politiche e procedure chiare per la gestione delle richieste di informazioni sensibili, la verifica delle identità e la segnalazione di attività sospette.
Per riassumere
È importante proteggersi dall'ingegneria sociale perché può comportare perdite finanziarie significative, furto di informazioni personali e riservate, compromissione dei sistemi di sicurezza, danni alla reputazione e gravi violazioni dei dati.
Per quanto il team IT sia bravo a proteggere l'azienda da attacchi informatici tecnici, l'elemento umano rimane una potenziale vulnerabilità. Non è mai possibile eliminare completamente il rischio che qualcuno cerchi di entrare nel vostro sistema attraverso metodi di social engineering che puntano alla fiducia e alla psicologia delle persone. Ecco perché è così importante formare i dipendenti per identificare continuamente le e-mail di phishing, le chiamate di vishing e altri tipi di attacchi di ingegneria sociale, e per promuovere una cultura di consapevolezza e cautela in materia di sicurezza.
- Studio di caso DMARC MSP: Come S-IT ha automatizzato la gestione dell'autenticazione e-mail con PowerDMARC - 29 giugno 2025
- PowerDMARC domina il G2 Summer Reports 2025 nella categoria dei software DMARC - 29 giugno 2025
- Le e-mail a freddo sono ancora efficaci nel 2025? Migliori pratiche per la sensibilizzazione e la sicurezza - 20 giugno 2025