• Scarica Surfshark
Scarica Surfshark

LINK RAPIDI

    Blog Sicurezza informatica

    Cos’è l’ingegneria sociale (social engineering)? Guida alle tattiche di manipolazione e alle strategie di difesa

    Aleksander FurgalAleksander Furgal
    Una mano bianca che manipola una figura di burattino silhouette con fili rossi.
    Pubblicato 2025, Aprile 25 · Tempo di lettura: 21 min

    L’ingegneria sociale non è solo qualcosa che fanno gli agenti sotto copertura nei film di spionaggio. Su Internet è molto più comune di quanto pensi, e potresti esserne un bersaglio inconsapevole proprio in questo momento. Gli ingegneri sociali sfruttano la tua fiducia, la tua curiosità o le tue paure. Il loro approccio è sottile e costruito su misura.

    Se vuoi scoprire come avvengono questi attacchi e cosa puoi fare per proteggerti, continua a leggere. L’ingegneria sociale si evolve rapidamente e capirne il funzionamento è il primo passo per restare al sicuro online.

    Come funziona l’ingegneria sociale

    L’ingegneria sociale è un insieme di tecniche dannose basate sulla manipolazione delle vittime, con l’obiettivo di spingerle a rivelare informazioni riservate o a compiere azioni che mettano a rischio la loro sicurezza. È spesso usata nell’ambito dell’hacking, dove gli autori (noti come ingegneri sociali) fanno leva sulla manipolazione psicologica più che sulle competenze tecniche per ottenere credenziali di accesso, dati bancari o persino il controllo completo di interi sistemi.

    Per ingannare le loro vittime, gli ingegneri sociali utilizzano una serie di tattiche. Tendono a costruire un rapporto di fiducia basandosi su falsi pretesti, sfruttando emozioni come la paura, la curiosità o il senso di urgenza. Per abbassare la guardia della vittima, possono fingersi persone con credenziali legittime, come un collega o una figura autoritaria.

    6 tipi di attacchi di ingegneria sociale

    Abbiamo individuato sei tecniche comuni impiegate negli attacchi di ingegneria sociale. È importante ricordare che queste tecniche spesso si sovrappongono e che la maggior parte degli attacchi di alto profilo le combina, in un modo o nell’altro.

    1. Phishing

    Phishing è una delle tecniche di ingegneria sociale più diffuse. Consiste nell’invio di e-mail o messaggi falsi che sembrano provenire da fonti affidabili, ma che spesso contengono link dannosi o allegati infetti. Dopo che la vittima interagisce con il messaggio, il truffatore può sottrarre le sue credenziali di accesso, il numero di previdenza sociale o altre informazioni sensibili.

    Ad esempio, un attacco di phishing può consistere nell’invio di e-mail false che richiedono di verificare le informazioni del conto bancario. Quando una delle vittime prese di mira clicca sul link, viene indirizzata a un sito web che imita la pagina di login della banca, inducendola a rivelare i propri dati personali al truffatore.

    2. Baiting

    Con la tecnica del baiting i truffatori attirano le vittime con la promessa di qualcosa di desiderabile, come contenuti multimediali o software gratuiti. L’esca li indirizza poi verso siti web creati appositamente per raccogliere le loro credenziali di accesso o informazioni finanziarie.

    Le tattiche di adescamento possono essere applicate anche offline. Ad esempio, i truffatori possono lasciare un’unità USB infetta in un luogo pubblico, sperando che un curioso la colleghi al proprio computer e installi inconsapevolmente un software dannoso.

    3. Pretexting

    Il pretexting consiste nell’inventare uno scenario o un’identità per estorcere informazioni riservate attraverso una conversazione con la vittima. Questa tecnica spesso prevede l’impersonificazione di una figura autoritaria, come un rappresentante di banca che richiede informazioni finanziarie o un tecnico IT che domanda l’accesso ad aree di sistema riservate con il pretesto di eseguire controlli di routine.

    Il pretexting si basa sulla creazione di un rapporto di fiducia con la vittima, spesso sfruttando informazioni di base ottenute dai suoi profili social o da ricerche accessibili pubblicamente.

    4. Quid pro quo

    Gli attacchi di tipo quid pro quo implicano l’offerta di servizi o benefici specifici in cambio di informazioni. Ad esempio, un truffatore potrebbe impersonare il supporto tecnico, promettendo di aiutare a risolvere un problema su dispositivi mobili o sul computer della vittima in cambio dell’accesso remoto al sistema. Una volta ottenuto l’accesso, possono rubare dati personali, installare un software dannoso o persino sabotare interi sistemi.

    Sebbene possa sembrare simile al pretexting, la differenza principale è che, negli attacchi quid pro quo, il truffatore offre qualcosa di desiderabile in cambio della collaborazione della vittima.

    5. Spear phishing

    Una forma più mirata di phishing è lo spear phishing che consiste nell’elaborare strategie altamente personalizzate rivolte a individui o organizzazioni specifiche. In questi attacchi l’hacker raccoglie innanzitutto dettagli personali sulla vittima, come il ruolo lavorativo o le sue relazioni, per rendere il messaggio di phishing ancora più credibile.

    Lo spear phishing prende di mira solitamente persone con un tipo di accesso di alto livello, come dirigenti o amministratori di sistema, rendendolo una delle forme più pericolose di ingegneria sociale.

    6. Attacchi “watering hole”

    Un attacco “watering hole” è un’operazione mirata in cui gli hacker compromettono un sito web o un servizio frequentemente visitato da un gruppo specifico di persone. Questo permette ai truffatori di infiltrarsi nella rete o nei sistemi del gruppo o dell’organizzazione a cui sono interessati, senza attaccare direttamente l’organizzazione stessa.

    Questo metodo sfrutta la fiducia della vittima in una risorsa di uso comune ritenuta sicura, rendendolo una forma di hacking umano particolarmente efficace e sofisticata.

    Casi di ingegneria sociale di alto profilo

    Gli attacchi di ingegneria sociale sono stati alla base di alcune delle violazioni della sicurezza informatica più gravi della storia, causando manipolazioni, furti d’identità e perdite finanziarie rilevanti. Di seguito alcuni esempi significativi di come l’ingegneria sociale sia stata utilizzata con successo per colpire organizzazioni considerate solitamente a impenetrabili:

    Violazione dei dati di Target del 2013

    Questo è uno dei casi di ingegneria sociale più eclatanti e noti fino ad oggi. Nel 2013 il gigante della vendita al dettaglio Target è stato vittima di una violazione dei dati che ha esposto le informazioni relative alle carte di credito e di debito di oltre 40 milioni di clienti. I truffatori hanno ottenuto l’accesso tramite un attacco di phishing, ingannando un fornitore terzo e inducendolo a cedere le proprie credenziali. Una volta ottenuto l’accesso alla rete di Target, i truffatori sono riusciti a muoversi all’interno del sistema senza essere rilevati, fino a raggiungere i dati di pagamento memorizzati nei sistemi dei punti vendita.

    La violazione subita da Target nel 2013 è un esempio lampante di come i truffatori possano impiegare tecniche di ingegneria sociale per colpire non solo l’obiettivo principale, ma anche sfruttare l’errore umano di terze parti con protocolli di sicurezza più deboli.

    L’attacco hacker a Twitter del 2020

    Nel luglio 2020 criminali informatici hanno portato a termine con successo un attacco di ingegneria sociale su Twitter, compromettendo diversi account di alto profilo, tra cui quelli di Elon Musk, Barack Obama e Apple. Fingendosi personale IT impegnato in un controllo di sicurezza di routine, i truffatori sono riusciti a ingannare i dipendenti di Twitter e a farsi consegnare le loro credenziali di accesso. Da lì, i truffatori hanno ottenuto accesso ai sistemi di back-end di Twitter, riuscendo a reimpostare le password e a pubblicare messaggi dagli account verificati.

    Questo attacco dimostra quanto l’ingegneria sociale possa essere efficace nello sfruttare l’errore umano e nel suscitare fiducia attraverso falsi pretesti.

    Frode a Google e Facebook

    Tra il 2013 e il 2015 i truffatori hanno messo in atto un’operazione di compromissione delle e-mail aziendali (BEC), riuscendo a ingannare Google e Facebook e a farsi trasferire oltre $100 milioni di euro sui propri conti bancari. I truffatori si sono finti fornitori abituali e hanno inviato fatture false ai dipendenti dei reparti finanziari di entrambe le aziende. Approfittando della natura routinaria di questi pagamenti e agendo sotto la copertura dei normali processi aziendali, la frode è rimasta inosservata per quasi due anni.

    Nessun caso dimostra meglio l’efficacia delle truffe di phishing. Conoscendo a fondo le procedure di verifica di un’azienda, i truffatori possono facilmente infiltrarsi anche nelle transazioni più sensibili.

    La violazione della sicurezza di RSA

    Nel 2011 la società di sicurezza informatica RSA è stata vittima di una grave violazione, causata da un attacco di phishing ben orchestrato. I dipendenti di RSA hanno ricevuto e-mail con oggetto Piano di assunzione 2011, contenenti un allegato dannoso. È stato sufficiente che un solo dipendente aprisse l’allegato perché il malware si installasse automaticamente sul suo sistema, garantendo ai truffatori l’accesso remoto alla rete aziendale. I truffatori hanno quindi sottratto informazioni sensibili legate ai token di autenticazione di RSA, con conseguenze su numerosi clienti.

    Questo attacco dimostra come un attacco di phishing possa mettere in crisi anche le aziende più protette, generando ripercussioni estese sulla sicurezza informatica della loro clientela.

    Come proteggersi dagli attacchi di ingegneria sociale

    Una mano bianca che tiene un ingranaggio con una sagoma all’interno.

    Sebbene gli attacchi di ingegneria sociale mirino a sfruttare le debolezze umane, esistono diversi modi per ridurre al minimo il rischio di diventarne vittima. L’adozione di alcune pratiche quotidiane può fare davvero la differenza.

    1. Verifica delle identità

    Prenditi sempre il tempo necessario per verificare l’identità di chi richiede informazioni sensibili, soprattutto se la richiesta è inaspettata o arriva tramite canali non ufficiali. Per creare un senso di legittimità, i truffatori tendono a usare falsi pretesti e a impersonare fonti affidabili, come colleghi, tecnici IT o fornitori di servizi. Prima di condividere informazioni riservate, verifica sempre l’identità dell’interlocutore chiamandolo direttamente o insisti sull’uso di metodi di comunicazione noti e affidabili.

    2. Fai attenzione a link e allegati

    Uno dei modi più comuni con cui gli ingegneri sociali ingannano le loro vittime è tramite link web dannosi e allegati e-mail infetti. Ricorda di non rispondere mai a e-mail, messaggi di testo o comunicazioni provenienti da mittenti sconosciuti. Se un messaggio ti sembra sospetto, passa il cursore sulla barra degli indirizzi o sul link per ispezionare l’URL. Se ti sembra strano e non corrisponde al sito web legittimo, è meglio evitare qualsiasi interazione, in quanto potrebbe essere stato progettato per rubare le tue credenziali di accesso o infettare il tuo sistema con malware.

    3. Usa password forti e diverse per ogni account

    Utilizzare password forti e diverse per ogni account è uno dei modi più semplici ed efficaci per proteggersi dagli attacchi di ingegneria sociale. Gli ingegneri sociali possono cercare di accedere ai tuoi account inducendoti a rivelare le credenziali, ma se non riutilizzi le password su più siti, impedirai loro di accedere alla tua intera presenza digitale. Usare un gestore di password è una buona idea, in quanto ti permette di generare e conservare password forti senza lo stress di doverle ricordare tutte.

    4. Abilita l’autenticazione a due fattori (2FA)

    Un altro metodo molto efficace per proteggere i tuoi account è attivare l’autenticazione a più fattori (MFA). Anche se un truffatore riesce a ottenere la tua password, la 2FA assicura che non possa accedere al tuo account senza un secondo metodo di verifica, come un codice via SMS, un’app di autenticazione o un token hardware. Questo è particolarmente importante per proteggere gli account che contengono informazioni finanziarie o numeri di previdenza sociale.

    5. Informati sulle tattiche di ingegneria sociale

    Rimanere aggiornati sulle ultime tecniche di ingegneria sociale dovrebbe essere una cosa ovvia per chiunque tenga davvero alla propria sicurezza online. I criminali informatici affinano continuamente le loro tecniche, e una formazione regolare su come riconoscere truffe di phishing, siti web dannosi e comportamenti sospetti aiuta a ridurre al minimo il rischio di cadere vittima di queste tecniche.

    6. Diffida di urgenza o pressione

    Molte tecniche di ingegneria sociale fanno leva su un senso di urgenza per spingerti ad agire in fretta, senza riflettere. Che si tratti di un’e-mail falsa che segnala un problema con il tuo account o di una telefonata che richiede un’azione immediata, prenditi sempre il tempo necessario per valutare la situazione prima di rispondere. Se qualcosa non torna o sembra troppo affrettato, è sempre meglio fermarsi un attimo e verificare la richiesta prima di agire.

    Difendere le aziende dagli attacchi di ingegneria sociale

    Sebbene gli attacchi di ingegneria sociale colpiscano spesso i singoli individui, le aziende rappresentano il bersaglio principale per i criminali informatici, a causa dell’elevato valore dei loro dati e dei loro sistemi. Ecco alcune strategie chiave che le organizzazioni possono adottare per proteggersi da questi attacchi.

    1. Formazione dei dipendenti

    Una formazione regolare sulla sicurezza informatica è fondamentale per aiutare i dipendenti a riconoscere e prevenire gli attacchi di ingegneria sociale. Per proteggere i dati aziendali, tutti i dipendenti dovrebbero saper riconoscere e-mail sospette, link falsi e tentativi di phishing. Poiché gli ingegneri sociali sfruttano spesso l’errore umano, la formazione dovrebbe concentrarsi su attacchi comuni di phishing, compromissione delle e-mail aziendali e tattiche come il pretexting e il quid pro quo.

    I dipendenti dovrebbero anche essere istruiti sui rischi riguardanti allegati e software dannosi, oltre che sulle modalità operative degli ingegneri sociali.

    2. Implementazione di protocolli rigorosi

    Le organizzazioni dovrebbero stabilire protocolli rigorosi per la verifica delle richieste di informazioni riservate, soprattutto se effettuate via e-mail o telefono. Ad esempio, implementare un processo di verifica in due passaggi per modifiche a informazioni finanziarie o per l’accesso ad aree riservate può ridurre in modo significativo il successo degli attacchi di ingegneria sociale.

    Questi protocolli dovrebbero imporre ai dipendenti di verificare l’identità di chiunque richieda dati sensibili, anche se la richiesta sembra provenire da una fonte legittima. Questo può aiutare a impedire ai truffatori di accedere a sistemi o dati sensibili sfruttando falsi pretesti.

    3. Audit di sicurezza

    Audit di sicurezza regolari possono aiutare a individuare vulnerabilità nell’infrastruttura di un’organizzazione che potrebbero essere sfruttate dagli ingegneri sociali. Dovrebbero esaminare ogni aspetto, dai protocolli di accesso remoto alle policy di sicurezza per l’accesso alla rete e alle e-mail aziendali.

    Le aziende possono rafforzare le proprie difese contro gli attacchi di ingegneria sociale comprendendo i punti deboli e conducendo verifiche approfondite sulle informazioni e sui sistemi critici.

    4. Utilizzo di software antivirus e firewall

    Installare e aggiornare regolarmente un software antivirus può contribuire a prevenire l’insinuarsi di applicazioni dannose nelle reti aziendali. Inoltre, è consigliabile utilizzare un firewall per filtrare il traffico proveniente da siti web dannosi e impedire ai dipendenti di accedervi involontariamente tramite risultati dei motori di ricerca o tentativi di phishing.

    Un sistema operativo aggiornato, insieme agli altri software, è essenziale per difendersi da siti web dannosi e da truffatori che sfruttano le vulnerabilità del software per condurre i loro attacchi.

    5. Autenticazione a più fattori (MFA) per tutti i dipendenti

    Le aziende dovrebbero imporre l’utilizzo dell’autenticazione a più fattori (MFA) per tutti gli account dei dipendenti. L’autenticazione a più fattori (MFA) aggiunge un ulteriore livello di sicurezza, garantendo che, anche se un truffatore riesce a ottenere le credenziali di accesso, non possa entrare nei sistemi aziendali senza il secondo fattore, come un codice via SMS o un token hardware.

    L’autenticazione a più fattori (MFA) è particolarmente importante per gli account che hanno accesso a informazioni finanziarie, sistemi critici o altri dati sensibili.

    6. Segmentazione dei dati e controlli degli accessi

    Limitare l’accesso dei dipendenti esclusivamente ai dati e ai sistemi necessari per il loro ruolo può ridurre il potenziale danno causato da un attacco di ingegneria sociale. Segmentando i dati e limitando l’accesso alle informazioni sensibili, le organizzazioni possono garantire che, anche se un truffatore compromette un dipendente, non possa accedere all’intera rete o a dati sensibili non pertinenti al suo ruolo.

    Questa forma di controllo degli accessi contribuisce a limitare l’impatto di un attacco e a ridurre al minimo il rischio che l’account compromesso di un dipendente provochi una violazione dei dati a livello aziendale.

    Ingegneria sociale e hacking tecnico: qual è la differenza?

    Sebbene l’hacking tecnico riceva spesso maggiore attenzione nei dibattiti sulla sicurezza informatica, l’ingegneria sociale rappresenta una minaccia ancora più insidiosa. Entrambi i metodi possono portare a gravi violazioni della sicurezza, ma operano in modi fondamentalmente diversi.

    Gli attacchi di ingegneria sociale si basano principalmente sulla manipolazione psicologica, sfruttando la fiducia, la paura, la curiosità o l’urgenza per manipolare le vittime. L’hacking tecnico, invece, implica l’accesso non autorizzato attraverso l’uso di malware, virus o exploit delle vulnerabilità di rete. Per proteggersi da queste minacce si ricorre generalmente a firewall, sistemi di rilevamento delle intrusioni e software antivirus.

    Ma sebbene queste difese siano molto efficaci nel prevenire le violazioni tecniche, offrono poca protezione contro l’anello più debole della catena della sicurezza: le persone. Poiché gli esseri umani tendono naturalmente a fidarsi e spesso non conoscono le sofisticate tattiche di ingegneria sociale impiegate per ingannarli, i truffatori riescono ad aggirare anche i sistemi più sicuri sfruttando proprio i dipendenti. Questi attacchi richiedono anche competenze tecniche molto più limitate, rendendo il punto di accesso molto più facile da sfruttare.

    Resta vigile: l’ingegneria sociale è una minaccia destinata a restare.

    Abbiamo visto come funziona l’ingegneria sociale e perché rappresenta uno strumento così efficace per i criminali informatici. Ora sai come i truffatori manipolano il comportamento umano e sei in grado di riconoscere le tattiche che usano per ottenere accesso a informazioni sensibili. Eppure, questo è solo l’inizio.

    Il futuro dell’ingegneria sociale si preannuncia ancora più sofisticato, con i criminali informatici che iniziano a sfruttare tecnologie emergenti come l’intelligenza artificiale e i deepfake. Rimanere vigili, essere sospettosi delle richieste inaspettate e proteggere la propria presenza online è fondamentale.

    Ed è proprio qui che entra in gioco la suite di cybersecurity completa di Surfshark. Con una VPN potente, notifiche in tempo reale in caso di violazioni dei dati, antivirus e strumenti avanzati per la tutela della privacy, Surfshark ti aiuta a prevenire le minacce informatiche in modo semplice ed efficace. L’ingegneria sociale è in continua evoluzione, e anche le tue difese dovrebbero esserlo: sii consapevole, resta al sicuro e non farti cogliere di sorpresa dalle minacce informatiche.

    Ferma l’ingegneria sociale sul nascere

    Ferma l’ingegneria sociale sul nascere

    Surfshark One offre tutto ciò di cui hai bisogno per la tua sicurezza online

    Scegli Surfshark

    Che cos’è l’ingegneria sociale in parole semplici?

    L’ingegneria sociale è una tecnica di manipolazione con cui i truffatori spingono le persone a fornire informazioni personali o sensibili. Si tratta di sfruttare la fiducia, anziché violare i sistemi.

    Qual è un esempio di ingegneria sociale?

    Un esempio comune di ingegneria sociale è il phishing, in cui un truffatore invia un’e-mail falsa fingendosi un’azienda fidata, chiedendoti di cliccare su un link e inserire le tue credenziali di accesso.

    Che cos’è un attacco di ingegneria sociale?

    Un attacco di ingegneria sociale si verifica quando i criminali informatici usano l’inganno per ottenere accesso a informazioni riservate, spesso fingendosi persone fidate o facendo leva sulle emozioni.

    Cosa fa solitamente un ingegnere sociale?

    Un ingegnere sociale manipola le persone inducendole a fornire password, dati finanziari o altre informazioni sensibili, creando scenari convincenti che spingono le vittime ad agire senza riflettere.

    Valuta questo articolo
    5
    Aleksander Furgal
    Articolo di Aleksander FurgalIf VPN’s a ball of yarn you need untangled, then he's your knitting grandma.
    Ti presentiamo i nostri redattori
    LINK RAPIDI

      Proteggi il tuo mondo online

      La suite completa per la sicurezza informatica di Surfshark ti consente di ottenere sicurezza, privacy e libertà maggiori sul web.

      Ottieni Surfshark

      Prosegui la lettura

      Come proteggersi dalle truffe via SMS
      Blog Sicurezza informatica

      Come proteggersi dalle truffe via SMS
      Ema Pennell
      2025-04-11 · Tempo di lettura: 9 min
      Cos’è il cybersquatting?
      Blog Sicurezza informatica

      Cos’è il cybersquatting?
      Jon Sidor
      2025-04-09 · Tempo di lettura: 17 min
      Siti Tor: 10 link per navigare in sicurezza
      Blog Sicurezza informatica

      Siti Tor: 10 link per navigare in sicurezza
      Jon Sidor
      2025-04-01 · Tempo di lettura: 14 min
      Tor Browser è sicuro?
      Blog Sicurezza informatica

      Tor Browser è sicuro?
      Ema Pennell
      2025-03-17 · Tempo di lettura: 21 min
      Come trovare l’indirizzo IP del router su tutte le piattaforme
      Blog Sicurezza informatica

      Come trovare l’indirizzo IP del router su tutte le piattaforme
      Aleksander Furgal
      2025-03-17 · Tempo di lettura: 7 min
      Come utilizzare un indirizzo IP statico
      Blog Sicurezza informatica

      Come utilizzare un indirizzo IP statico
      Ema Pennell
      2025-02-26 · Tempo di lettura: 8 min
      Protocollo SMB: cos’è e come funziona
      Blog Sicurezza informatica

      Protocollo SMB: cos’è e come funziona
      Silvija Danauskaitė
      2025-02-07 · Tempo di lettura: 19 min
      Differenza tra browser e motore di ricerca
      Blog Sicurezza informatica

      Differenza tra browser e motore di ricerca
      Ema Pennell
      2025-01-31 · Tempo di lettura: 11 min
      Antivirus e VPN: che differenza c’è?
      Blog Tutto su VPN Sicurezza informatica

      Antivirus e VPN: che differenza c’è?
      Jon Sidor
      2025-01-29 · Tempo di lettura: 12 min
      Teniamo alla tua privacy
      Questo sito web utilizza cookie che sono necessari per il corretto funzionamento del nostro sito e per fornirci informazioni sull'utilizzo del sito web da parte dell'utente, oltre che per scopi di marketing. Accettando, l'utente accetta l'uso dei cookie come descritto nella nostra Politica sulla privacy.
      Impostazioni dei cookie
      Questo sito web utilizza cookie che sono necessari per il corretto funzionamento del nostro sito e per fornirci informazioni sull'utilizzo del sito web da parte dell'utente, oltre che per scopi di marketing. Accettando, l'utente accetta l'uso dei cookie come descritto nella nostra Politica sulla privacy.
      Attiva sempre
      Questi cookie sono necessari per il funzionamento del nostro sito web, per ricordare le tue preferenze principali e per mantenere sicuro il nostro sito web
      Questi cookie ci aiutano a capire come utilizzi il nostro sito web
      Noi e i nostri partner di fiducia utilizziamo i cookie per fornire pubblicità mirata e valutare le prestazioni delle campagne pubblicitarie.

      Offerta VPN irrinunciabile

      Sconto del % + me. EXTRA
      Fai tua l'offerta VPN