← Torna al blog Sicurezza

Attacchi di social engineering: perche i vostri dipendenti sono il bersaglio

Envestis Team 15 min di lettura

L'attacco che i firewall non possono fermare

La vostra azienda puo avere il miglior firewall, comunicazioni crittografate, autenticazione a due fattori su ogni account e un sito web costruito seguendo le migliori pratiche di sicurezza. Niente di tutto cio conta se un attaccante puo chiamare la vostra receptionist, fingersi del reparto IT e farsi leggere un codice di verifica. O entrare in ufficio dietro un dipendente che tiene aperta la porta. O lasciare una chiavetta USB con l'etichetta "Report Stipendi Q3" nel parcheggio.

Il social engineering e la pratica di manipolare le persone per farle rivelare informazioni riservate o compiere azioni che compromettono la sicurezza. Prende di mira la psicologia umana piuttosto che le vulnerabilita tecniche. E funziona con una consistenza allarmante, particolarmente contro le piccole e medie imprese dove i processi formali di sicurezza sono spesso informali o inesistenti.

I numeri lo confermano. Secondo il Data Breach Investigations Report di Verizon, l'elemento umano e coinvolto nel 74% di tutte le violazioni di dati. Il social engineering e il vettore primario per l'accesso iniziale in una porzione significativa di questi incidenti. Gli attaccanti lo scelgono perche e efficace, economico e scalabile.

Social engineering vs phishing tecnico

Prima di procedere, chiariamo la distinzione. Il phishing (che trattiamo in dettaglio nel nostro articolo sul phishing della posta aziendale) e un tipo specifico di social engineering che usa email, messaggi o siti web fraudolenti per indurre le persone a rivelare credenziali o installare malware. E in gran parte automatizzato e diffuso ad ampio raggio.

Il social engineering, in senso piu ampio, include il phishing ma comprende anche attacchi piu personali, piu mirati, e spesso condotti di persona o al telefono. Un attaccante che ricerca la vostra azienda su LinkedIn, identifica il responsabile finanziario per nome, chiama l'ufficio fingendosi un fornitore e convince un dipendente a reindirizzare un pagamento sta facendo social engineering. La sofisticazione tecnica e quasi zero. La sofisticazione psicologica e alta.

Le tecniche principali

Pretexting

Il pretexting e la forma piu sofisticata di social engineering. L'attaccante crea uno scenario inventato (un "pretesto") e assume un'identita falsa per estrarre informazioni dal bersaglio. Il pretesto da al bersaglio un motivo per condividere informazioni che normalmente non condividerebbe.

Scenari che funzionano contro le aziende:

  • La chiamata del supporto IT: Un attaccante chiama un dipendente, dice di essere del provider IT dell'azienda e chiede di installare un software di accesso remoto o condividere credenziali di login per "risolvere un problema urgente." L'urgenza e costruita per impedire al dipendente di verificare l'identita del chiamante.
  • Il nuovo dipendente: Un attaccante chiama il reparto finanziario, dice di essere un dipendente assunto di recente che non ha ancora ricevuto le credenziali di accesso e chiede aiuto per accedere a un sistema "solo questa volta."
  • La verifica del fornitore: Un attaccante invia un'email al team contabilita, impersonando un fornitore esistente, e chiede che i pagamenti futuri vengano inviati a coordinate bancarie aggiornate.
  • La richiesta del dirigente: Un attaccante si spaccia per il CEO o il CFO e istruisce un dipendente a effettuare un bonifico urgente. L'istruzione e programmata per quando il dirigente e in viaggio o non raggiungibile per verifiche.

Cio che rende il pretexting efficace e la preparazione. Gli attaccanti ricercano i loro bersagli. Conoscono nomi, titoli di lavoro, strutture organizzative, relazioni con i fornitori ed eventi aziendali recenti. LinkedIn, i siti aziendali, i comunicati stampa e persino i post sui social media forniscono tutte le informazioni necessarie.

Baiting

Il baiting usa la promessa di qualcosa di desiderabile per attirare una vittima in una trappola.

Baiting fisico: L'esempio classico e una chiavetta USB lasciata in un'area pubblica: il parcheggio dell'azienda, la hall o il bagno. La chiavetta e etichettata con qualcosa di accattivante: "Riservato," "Report Stipendi," "Piano di Ristrutturazione." La curiosita umana fa il resto. Quando un dipendente inserisce la chiavetta nel suo computer di lavoro, il malware si installa automaticamente.

Potreste pensare che sia troppo ovvio per funzionare. Gli studi suggeriscono il contrario. Un esperimento dell'Universita dell'Illinois ha distribuito 297 chiavette USB in un campus. Il 48% e stato inserito in computer, e il 68% delle persone che l'hanno fatto non ha preso alcuna precauzione prima di aprire i file.

Baiting digitale: Download di software gratuito, contenuti piratati o strumenti falsi che contengono malware. Un dipendente che cerca un convertitore PDF gratuito potrebbe scaricare un'applicazione trojanizzata che sembra legittima ma include una backdoor.

Tailgating (Piggybacking)

Il tailgating e social engineering fisico. L'attaccante segue una persona autorizzata attraverso una porta o un ingresso sicuro senza usare le proprie credenziali. Potrebbe portare una scatola di forniture, fingere di essere al telefono, o semplicemente camminare vicino alla persona autorizzata e dire "grazie" mentre tiene la porta.

Negli uffici piccoli, comuni per le aziende a Lugano e nel Ticino, il tailgating e banalmente facile. Molte piccole aziende non hanno alcun controllo degli accessi elettronico. Quelle che ce l'hanno spesso hanno una cultura di tenere la porta per gli altri perche sembra maleducato non farlo. Un attaccante in abbigliamento business casual che entra con sicurezza verra raramente sfidato.

Una volta dentro, l'attaccante ha accesso fisico alle postazioni di lavoro, stampanti, prese di rete e computer non bloccati. Puo installare keylogger hardware, fotografare documenti sensibili o semplicemente sedersi a una scrivania vuota e collegare un portatile.

Vishing (Phishing vocale)

Il vishing usa le telefonate invece delle email per estrarre informazioni. L'attaccante chiama il bersaglio, assume un'identita convincente e usa la manipolazione conversazionale per ottenere cio che serve.

Il vishing e efficace perche le conversazioni telefoniche creano una pressione psicologica che le email non creano. Quando qualcuno vi parla in tempo reale, c'e una pressione sociale a rispondere, ad essere utili, a non sembrare sospettosi o scortesi. L'email vi da tempo per pensare, consultare un collega, verificare. Una telefonata richiede una risposta immediata.

Scenari comuni di vishing:

  • Verifica bancaria: "Chiamo dalla vostra banca. Abbiamo rilevato attivita insolita sul vostro conto aziendale. Per verificare la vostra identita, confermate il numero di conto e l'ultima transazione."
  • Autorita fiscale: "Chiamo dall'ufficio fiscale cantonale. C'e una discrepanza nella dichiarazione dei redditi della vostra azienda. Ci serve il numero di registrazione dell'azienda."
  • Supporto tecnico: "Chiamo da Microsoft. Abbiamo rilevato che il vostro computer sta inviando traffico sospetto. Devo aiutarvi a eseguire alcuni strumenti diagnostici."

Il Caller ID puo essere falsificato. Il numero visualizzato sul vostro telefono puo essere fatto sembrare il numero effettivo della vostra banca, del vostro provider IT o di qualsiasi altra organizzazione.

Quid pro quo

Negli attacchi quid pro quo, l'attaccante offre qualcosa in cambio di informazioni. Esempio: un attaccante chiama i dipendenti fingendosi un ricercatore che conduce un "sondaggio sulla cybersecurity." In cambio di cinque minuti di tempo e risposte a qualche domanda (che includono domande sui sistemi interni e software usati), l'attaccante offre una gift card. Il dipendente vede un sondaggio innocuo. L'attaccante ottiene una mappa dettagliata dell'infrastruttura tecnica dell'azienda.

Perche le piccole aziende sono particolarmente vulnerabili

Le grandi aziende hanno protocolli di sicurezza formali, sistemi di accesso con badge, team di sicurezza e programmi di formazione regolari. Le piccole e medie imprese, specialmente in comunita imprenditoriali unite come quelle di Lugano e del Ticino, hanno diverse caratteristiche che le rendono bersagli piu facili:

  • Cultura della fiducia: In una piccola azienda, tutti conoscono tutti. Volti nuovi sono inusuali ma non allarmanti. Uno sconosciuto gentile che chiede del direttore dell'ufficio per nome non e sospetto; si presume sia un cliente o il nuovo rappresentante di un fornitore. Questo ambiente ad alta fiducia e meraviglioso per le relazioni commerciali e pessimo per la sicurezza.
  • Nessun processo formale per i visitatori: Molti piccoli uffici non hanno un banco reception, registri visitatori o requisiti di badge. Le persone entrano e escono liberamente.
  • Dipendenti multi-ruolo: In una piccola azienda, la persona che gestisce la contabilita gestisce anche il sito web, i rapporti con i fornitori e occasionalmente la reception. Sono impegnati e distratti, rendendoli piu suscettibili alla pressione del social engineering. Hanno anche accesso piu ampio ai sistemi.
  • Nessuna formazione sulla consapevolezza della sicurezza: La maggior parte delle PMI non conduce formazione formale. I dipendenti non hanno mai sentito parlare di pretexting, vishing o tailgating. La prima volta che incontrano un attacco di social engineering e quella vera.
  • Cultura basata sull'autorita: In molte PMI svizzere, i dipendenti sono abituati a seguire le istruzioni del management senza mettere in discussione. Quando un attaccante si spaccia per il CEO e impartisce un'istruzione urgente, i dipendenti obbediscono perche sono stati formati a obbedire all'autorita.

Scenari reali dal contesto aziendale svizzero

Questi non sono ipotesi. Questi pattern si sono verificati contro aziende in Svizzera:

Un'azienda di trading ticinese ha ricevuto una telefonata da qualcuno che affermava di essere della loro banca. Il chiamante conosceva il nome dell'azienda, il nome del gestore del conto e gli importi delle transazioni recenti. Ha chiesto al responsabile finanziario di "confermare" un trasferimento in sospeso fornendo un codice di verifica inviato al telefono registrato dell'azienda. Il responsabile finanziario ha fornito il codice, che l'attaccante ha usato per autorizzare un trasferimento fraudolento.

Uno studio di architettura in un edificio con uffici condivisi non aveva controllo degli accessi oltre a un codice per la porta principale condiviso tra tutti gli inquilini. Un attaccante e entrato nell'edificio, ha trovato l'ufficio aperto durante la pausa pranzo e ha passato quindici minuti a fotografare documenti di progetto e copiare file da una postazione non bloccata su una chiavetta USB.

Un'azienda manifatturiera ha ricevuto un'email da quello che sembrava un fornitore di lunga data, che li informava che il conto bancario del fornitore era cambiato. L'email proveniva da un dominio che differiva dal dominio effettivo del fornitore di un solo carattere. L'azienda ha aggiornato i dettagli di pagamento e ha inviato due mesi di pagamenti al conto fraudolento prima di scoprire l'inganno.

In ogni caso, la sicurezza tecnica dell'azienda non e stata violata. Gli attaccanti hanno aggirato la tecnologia prendendo di mira le persone.

Costruire un firewall umano

Il termine "firewall umano" si riferisce ai dipendenti formati per riconoscere, resistere e segnalare i tentativi di social engineering. Costruire questo firewall richiede tre elementi: consapevolezza, procedure e cultura.

Formazione sulla consapevolezza della sicurezza

Ogni dipendente deve sapere che aspetto ha il social engineering. La formazione dovrebbe coprire:

  • Riconoscimento: Quali sono i segnali di un tentativo di social engineering? Urgenza, pressione dell'autorita, richieste inusuali, richieste di informazioni che non dovrebbero essere condivise al telefono.
  • Verifica: Come verificare l'identita di un chiamante o visitatore. Non usate mai le informazioni di contatto fornite dal chiamante. Cercate il numero dell'organizzazione indipendentemente e richiamate.
  • Segnalazione: Cosa fare quando sospettate un tentativo di social engineering. Chi contattare, come documentare l'interazione.
  • Pratica: Esercizi simulati di social engineering. Proprio come le esercitazioni antincendio preparano i dipendenti per gli incendi, le simulazioni di social engineering li preparano per i tentativi di manipolazione.

La formazione dovrebbe essere regolare, non annuale. Sessioni trimestrali di 20-30 minuti sono molto piu efficaci di un seminario annuale di due ore che i dipendenti dimenticano entro una settimana.

Procedure chiare

  • Verifica dei cambi di pagamento: Ogni richiesta di cambiare le coordinate bancarie di un fornitore deve essere verificata attraverso un canale di comunicazione separato.
  • Policy di condivisione delle informazioni: Definite cosa puo e non puo essere condiviso al telefono.
  • Gestione visitatori: Anche in un piccolo ufficio, implementate un processo base per i visitatori.
  • Policy USB: Le chiavette USB trovate non devono mai essere inserite nei computer di lavoro.
  • Percorso di escalation: I dipendenti devono sapere esattamente chi contattare quando qualcosa non torna. Nessuno dovrebbe essere punito per prendersi il tempo di verificare una richiesta.

Cultura della sicurezza

  • La leadership da l'esempio: Se il CEO aggira le procedure di sicurezza, i dipendenti faranno lo stesso.
  • Nessuna colpa per le segnalazioni: Se un dipendente cade in un attacco di social engineering e lo segnala immediatamente, la risposta deve essere supporto, non punizione.
  • Premiare la vigilanza: Quando un dipendente identifica con successo un tentativo di social engineering, riconoscetelo pubblicamente.
  • Comunicazione regolare: Condividete esempi anonimizzati nelle riunioni del team.

Checklist di difesa pratica

  1. Fate una sessione di formazione di 30 minuti su pretexting, vishing e baiting.
  2. Stabilite una procedura di verifica per i cambi di pagamento.
  3. Definite una policy di condivisione delle informazioni.
  4. Implementate un processo per i visitatori.
  5. Testate il vostro team con tentativi simulati.
  6. Impostate un canale di segnalazione.
  7. Eseguite un test di phishing simulato.
  8. Programmate sessioni trimestrali di aggiornamento.

Se avete bisogno di aiuto per progettare un programma di consapevolezza della sicurezza, contattate il nostro team a Lugano. Lavoriamo con aziende in tutto il Ticino e la Svizzera per costruire il livello di difesa umano che la tecnologia da sola non puo fornire. Per una visione piu ampia di come proteggere la vostra azienda, vedete la nostra guida completa alla cybersecurity per PMI.

Vuoi sapere se il tuo sito è sicuro?

Richiedi un audit di sicurezza gratuito. In 48 ore ricevi un report completo.

Richiedi Audit Gratuito

Articoli Correlati

Sicurezza

Vulnerabilita di WordPress nel 2025: Perche il Tuo Sito e Ancora a Rischio

WordPress alimenta oltre il 40% del web, ma la sua popolarita lo rende il bersaglio principale per gli attaccanti. Analizziamo le classi di vulnerabilita piu comuni, CVE reali dell'ultimo anno e passaggi concreti per rafforzare la tua installazione.

· 18 min di lettura
Sicurezza

SPF, DKIM e DMARC: Proteggi la Tua Azienda dallo Spoofing Email

Lo spoofing email costa alle aziende miliardi ogni anno tramite frodi BEC e phishing. SPF, DKIM e DMARC sono tre protocolli che, configurati correttamente, rendono quasi impossibile impersonare il tuo dominio.

· 15 min di lettura
Sicurezza

Pagine Admin Esposte: Un Regalo per gli Hacker

Le vostre pagine /wp-admin, /admin o /login sono visibili a tutto internet. I bot le stanno scansionando proprio ora. Il CAPTCHA da solo non vi salvera. Ecco come gli attaccanti sfruttano i pannelli admin esposti e cosa dovreste fare.

· 13 min di lettura

Contatto Rapido