Blog - Ultime notizie
Sei in: / Social engineering: cos’è, tecniche più usate e legame con il phishing...

Social engineering: cos’è, tecniche più usate e legame con il phishing

truffa Social engineering
Immagina di ricevere una mail o una telefonata dal “tuo” gestore bancario che ti avvisa di anomalie sul conto; la voce è cordiale, conosce nome, cognome e ultima operazione effettuata.

In pochi minuti ti convinci a “verificare” i dati di accesso all’home banking: la frode online è compiuta!

Nella mail, magari, il logo è perfetto, il tono formale e c’è anche la firma dell’operatore! Poco sotto, un pulsante blu: “Conferma i dati”.

Non c’è virus da scaricare, né codice malevolo da installare: basta un clic e l’attaccante ha ciò che vuole.

È la dimostrazione lampante che il bersaglio principale non è il computer, ma la persona, spesso vittima di manipolazioni mirate al furto di identità digitale.

Nel 2024 gli attacchi basati su phishing e social engineering sono aumentati del 35 % e rappresentano oggi l’11 % di tutti gli incidenti gravi registrati in Italia.

Che cos’è il social engineering? Definizione e funzionamento

Il social engineering è l’arte di manipolare le persone, per ottenere informazioni riservate o per indurle a compiere azioni contro i propri interessi, configurandosi spesso come reato di frode informatica.

Il processo, nella pratica, segue quattro tappe ben precise:

  1. Raccolta di dati: l’attaccante setaccia social, forum, open source intelligence (OSINT) e database pubblici per conoscere la vittima.
  2. Costruzione del contesto: si sceglie un ruolo credibile (impiegato dell’help-desk, corriere, tecnico IT) e si prepara una storia coerente.
  3. Innesco emotivo: si fa leva su urgenza, paura, curiosità o senso di autorità (ad esempio “parlo a nome della direzione”).
  4. Estrazione del risultato: la vittima fornisce password, codici OTP, copia di documenti o persino accesso fisico a un’area riservata.

In altre parole, si sfrutta la fiducia naturale che riponiamo negli altri… fiducia che online, purtroppo, può essere replicata con sorprendente facilità!

Le tecniche di social engineering più usate dagli hacker

Dal finto avviso della banca che invita a «verificare» l’home banking, alla chiavetta USB lasciata con nonchalance sul tavolo della sala riunioni, le strategie di social engineering puntano tutte sullo stesso bersaglio: l’attenzione (e la fiducia) dell’essere umano.

Gli attaccanti scelgono lo strumento più adatto alla situazione (e-mail, telefono, messaggi, contatto di persona), ma il principio non cambia: creare un contesto credibile, suscitare urgenza o curiosità, indurre la vittima a fare spontaneamente ciò che a loro serve.

Conoscere queste tecniche nel dettaglio è il primo passo per non cadere nella trappola.

  • Phishing (e-mail): messaggi che imitano istituti noti e contengono link a siti-clone; giocano sull’ansia di perdere soldi o servizi.
  • Smishing (SMS, WhatsApp): stessa logica del phishing, ma via messaggio breve; la fretta di rispondere dallo smartphone favorisce l’errore.
  • Vishing (telefonate): una voce gentile si presenta come operatore bancario o tecnico; tono rassicurante + dati anagrafici trovati online = fiducia immediata.
  • Pretexting: l’aggressore inventa un “pretesto” credibile (“sono il nuovo collega del reparto contabilità”) per farsi dare accesso o informazioni.
  • Baiting: si offre qualcosa in cambio (chiavetta USB “omaggio”, buono regalo) che, una volta utilizzato, infetta il dispositivo o invita a registrarsi su un sito malevolo.
  • Quid pro quo: promessa di aiuto (finta assistenza tecnica) a chi accetta di installare un software di “diagnostica” che in realtà è un trojan.
  • Tailgating / Piggybacking: l’attaccante entra fisicamente in un ufficio seguendo un dipendente che apre la porta con il badge; la cortesia diventa vulnerabilità.

Quale relazione esiste tra social engineering e phishing?

Il phishing è, di fatto, la forma più diffusa di social engineering in ambito digitale. Possiamo immaginarli come cerchi concentrici.

  • Social engineering è il cerchio grande che comprende ogni tattica di manipolazione: online, offline o ibrida.
  • Phishing è un sottoinsieme specializzato: sfrutta e-mail, SMS e pagine web falsificate per impersonare un’entità autorevole e rubare dati.

Il legame fra i due non è solo teorico.

Molti attacchi moderni sono multi-fase: cominciano con un’e-mail di phishing (social engineering digitale) che porta la vittima a una chiamata telefonica (vishing) o a un incontro fisico (tailgating).

Capire questa sovrapposizione aiuta a cogliere un punto chiave: la tecnologia usata cambia, la leva psicologica resta.

Social engineering e phishing: come riconoscerli e difendersi

Riconoscere un inganno non richiede competenze da hacker: serve un sano spirito critico, qualche accorgimento tecnico e l’abitudine a riflettere attentamente, prima di cliccare.

  • Pressione temporale sospetta: “Agisci entro 30 minuti o il conto verrà bloccato”. Gli istituti seri non minacciano scadenze lampo.
  • Richieste di dati che dovrebbero già avere: se la banca ti domanda codice fiscale e numero carta, fermati, perché li possiede già.
  • Link poco chiari: passa il mouse sul pulsante: se l’indirizzo non è quello ufficiale, ignora.
  • Errori (o eccessi) di tono: grammatica traballante o, al contrario, toni insolitamente altisonanti possono tradire un falso.
  • Controllo incrociato: chiama tu il numero presente sul sito ufficiale, non quello indicato nella mail.

Adottare piccoli rituali, come verificare il dominio o chiedere un parere al reparto IT, riduce drasticamente il rischio di abboccare.

Difendi i tuoi dati dagli attacchi di social engineering: affidati ai servizi di cybersecurity di Vox Investigazioni.

Contattaci subito

Reverse social engineering: quando la vittima cerca l’attaccante

A volte, il criminale non scrive né chiama: crea il problema e, subito dopo, offre la soluzione.

Tipicamente, si possono attraversare tre fasi distinte.

  1. Sabotaggio silenzioso: viene bloccata una stampante di reparto o appare un pop-up che annuncia un virus inesistente.
  2. Messa in scena dell’esperto: il messaggio suggerisce “per assistenza immediata, chiama l’interno 9090” (numero sotto controllo dell’aggressore).
  3. Estrazione delle credenziali: l’ignaro dipendente chiede aiuto: l’attaccante guida la “riparazione” e ottiene password o attiva un accesso remoto.

Perché funziona? Perché invertendo i ruoli si elimina la diffidenza: è la vittima a cercare l’attaccante, convinta di ricevere supporto ufficiale.

L’approccio è subdolo e spesso passa inosservato nei registri di sistema aziendali, dato che la connessione remota parte da un canale apparentemente legittimo.

Esempi reali di attacchi di social engineering e loro impatto

  • Smishing bancario in Italia (2024): oltre 10.000 correntisti tratti in inganno da SMS con link a siti-clone; prelievi illeciti superiori a 15 milioni di euro.
  • Finto help-desk “TechHelp” (UE, 2023): telefonate di presunta assistenza Microsoft: 1500 aziende installano un accesso remoto che esfiltra brevetti e password.
  • CEO Fraud” in una PMI veneta (2025): e-mail che imitano l’amministratore delegato inducono l’ufficio contabilità a bonificare 290.000 € verso conti esteri; indagini legate a reti di investigazioni aziendali illecite.
  • USB “bonus” negli USA (2022): chiavette lasciate in parcheggio aziendale: all’inserimento cifrano 12 server di produzione, paralizzando la supply chain per quattro giorni.

Come proteggersi dal social engineering: strategie e consigli pratici

Non esiste l’antivirus contro l’inganno, ma un mix di buone abitudini, tecnologie di base e procedure chiare rende la vita molto complicata ai truffatori.

  • Formazione continua: pillole mensili, quiz pratici e simulazioni di phishing riducono gli errori del 70% in un anno.
  • Autenticazione a più fattori: anche se la password scappa, senza il secondo fattore l’attacco si ferma.
  • Politica del “chi va là”: mai condividere password al telefono o via mail; gli operatori legittimi non le chiedono.
  • Doppio controllo per le transazioni: due firme o due canali diversi (telefono + e-mail) prima di approvare pagamenti.
  • Monitoraggio dei domini: servizi di brand protection avvisano, se nasce un sito che imita il tuo marchio.
  • Procedure di response: sapere già chi avvisare, quali log salvare e come isolare la macchina limita i danni.
  • Supporto esterno: in caso di frode, rivolgersi a professionisti delle indagini antifrode aiuta a recuperare prove e, talvolta, parte del denaro sottratto.

Domande frequenti sul social engineering

  1. Il social engineering è reato?
    Sì: in Italia configura truffa (art. 640 c.p.) o frode informatica (art. 640-ter c.p.).
  2. Un antivirus blocca il phishing?
    Può fermare allegati infetti, ma non l’utente che inserisce i propri dati in un sito falso.
  3. È vero che le PEC sono al sicuro?
    No: se una PEC viene compromessa, i messaggi phishing mantengono pieno valore legale.
  4. Che differenza c’è tra vishing e smishing?
    Il vishing usa la voce (telefonate), lo smishing messaggi testuali.
  5. Cos’è il pretexting?
    È una storia costruita ad hoc, per ottenere fiducia e informazioni (es. falso dipendente HR).
  6. Posso simulare phishing ai miei dipendenti?
    Sì, purché avvisi il personale e rispetti GDPR e D.lgs 81/2008.
  7. Come riconosco un sito clone a colpo d’occhio?
    Controlla il dominio, la presenza di HTTPS e chiediti se il link arriva da una fonte inattesa.

L’ingegneria sociale sfrutta la nostra parte più umana: curiosità, fretta, fiducia.

Per trasformare queste debolezze in un punto di forza servono cultura, procedure e, quando la truffa è già avvenuta, un partner investigativo che sappia raccogliere prove valide in tribunale.

Vox Investigazioni opera in tutta Italia con team certificati ISO 9001 e professionisti Federpol, offrendo supporto tecnico-legale 24/7.

Che tu debba analizzare un evento di phishing, esporre i responsabili o formare il personale, affidati a chi fa della sicurezza la propria missione quotidiana.