Menu
HomeChi siamoI nostri serviziI nostri prodottiBlogContatti
Torna al Blog Cybersecurity

Social Engineering: Come gli Hacker Manipolano le Persone

P
Pietro Natale
22 dicembre 2025
10 min di lettura

Il social engineering è la forma più efficace di cyberattacco — e non ha nulla a che fare con la tecnologia. È la manipolazione psicologica delle persone per ottenere accesso a sistemi, dati o denaro.

Non serve essere un hacker per fare social engineering. Basta un telefono, un'email convincente e un bersaglio non preparato. E la tua azienda ne ha molti.

Cos'è il Social Engineering

Il social engineering sfrutta la natura umana — fiducia, urgenza, paura, autorità, curiosità — per indurre le persone a compiere azioni che non dovrebbero:

  • Cliccare su un link malevolo
  • Fornire credenziali di accesso
  • Trasferire denaro a conti fraudolenti
  • Installare software malevolo
  • Dare accesso fisico a un edificio

Il 98% dei cyberattacchi include una componente di social engineering. Il firewall più sofisticato del mondo non protegge da un dipendente che dà la password al telefono.

Le Tecniche Più Comuni

Phishing

Email che sembra provenire da una fonte legittima (banca, fornitore, collega) e chiede di cliccare un link o aprire un allegato.

Varianti:

  • Spear phishing — Mirato a una persona specifica con informazioni personalizzate
  • Whaling — Mirato al CEO o ai dirigenti
  • Clone phishing — Copia di un'email legittima con il link sostituito

Vishing (Voice Phishing)

Chiamata telefonica da qualcuno che si finge il supporto IT, la banca o un fornitore:

"Buongiorno, sono del supporto tecnico Microsoft. Abbiamo rilevato un virus sul suo computer. Può darmi accesso remoto per rimuoverlo?"

Smishing (SMS Phishing)

SMS con link malevoli:

"Il tuo pacco è in attesa. Conferma la consegna: [link]" "La tua carta di credito è stata bloccata. Verifica qui: [link]"

BEC (Business Email Compromise)

L'attaccante compromette o impersona un dirigente e invia email a dipendenti:

"Ciao Marco, ho bisogno che fai un bonifico urgente di 15.000€ a questo fornitore: [IBAN]. È urgente, non ne parlare con nessuno per ora."

I danni BEC nel 2025 hanno superato i 2.5 miliardi di euro a livello globale.

Pretexting

L'attaccante crea uno scenario credibile per ottenere informazioni:

"Sono il nuovo commercialista del dottor Rossi. Mi servono i dati di fatturazione del trimestre scorso per preparare la dichiarazione. Può inviarmi tutto?"

Come Difendersi

1. Formazione continua

Il programma di security awareness è la difesa più efficace. Non un corso annuale — simulazioni mensili con feedback.

2. Procedure di verifica

  • Richieste di bonifico: Sempre verifica telefonica con il richiedente (al suo numero noto, non a quello nell'email)
  • Cambio IBAN fornitore: Sempre verifica con il fornitore prima di aggiornare
  • Richieste urgenti dal CEO: Specialmente se chiede segretezza — verifica SEMPRE

3. Tecnologia di supporto

  • Anti-phishing avanzato nel mail gateway
  • DMARC/SPF/DKIM configurati sul dominio
  • MFA su tutti gli account — anche se le credenziali vengono rubate, l'attaccante non entra
  • URL filtering — Blocco dei link malevoli noti

4. Cultura del dubbio sano

Creare un ambiente dove:

  • Segnalare email sospette è incoraggiato, non punito
  • Chiedere conferma non è "essere paranoici"
  • "Mi sembra strano" è un segnale d'allarme legittimo
  • Nessuno viene giudicato per aver chiesto verifica

Il Social Engineering nei Penetration Test

Nei nostri penetration test, il social engineering è una delle fasi più rivelatrici. Testiamo:

  • Email: Campagna di phishing simulata — quanti dipendenti cliccano?
  • Telefono: Chiamate pretestuali — quanti forniscono informazioni?
  • Fisico: Tentativi di accesso a uffici con pretesto — quanto è facile entrare?

I risultati sono sempre sorprendenti. Aziende con firewall da migliaia di euro dove il dipendente dà la password al telefono in 30 secondi.

Casi Reali in Italia

Il CEO Fraud

Un'azienda manifatturiera campana riceve un'email apparentemente dal CEO: "Urgente: trasferire 47.000€ al fornitore giapponese. È un'operazione riservata, non ne parlare con altri." L'impiegata esegue il bonifico. Il CEO non aveva mai inviato quella email.

Il Finto Fornitore

Un'azienda riceve una comunicazione dal "fornitore abituale" che avvisa di aver cambiato IBAN. Le fatture successive vengono pagate al nuovo conto — intestato all'attaccante. Quando il vero fornitore sollecita il pagamento, sono passati 3 mesi.

Conclusione

La tecnologia protegge dal 90% degli attacchi automatizzati. Ma il social engineering è mirato, personalizzato e sfrutta l'unica vulnerabilità che nessun software può patchare: l'essere umano.

L'unica difesa è la consapevolezza. E la consapevolezza si costruisce con formazione continua, simulazioni pratiche e una cultura aziendale del "verifica sempre".

Vuoi testare la resilienza della tua azienda al social engineering? Contattaci — includiamo i test di social engineering nei nostri penetration test.

#social engineering #phishing #BEC #sicurezza #formazione

Ti è piaciuto questo articolo?

Contattaci per scoprire come possiamo aiutare la tua azienda.

Richiedi una consulenza