Il social engineering (ingegneria sociale) è l’insieme delle tecniche che sfruttano la psicologia umana — piuttosto che le vulnerabilità tecniche dei sistemi — per manipolare le persone a fare qualcosa che normalmente non farebbero: rivelare credenziali, eseguire bonifici, installare software malevolo o concedere accesso fisico a aree protette. È il vettore di attacco più efficace e trasversale, perché aggira i controlli tecnici colpendo l’anello più debole della catena di sicurezza: l’essere umano.
L’affermazione di Kevin Mitnick — tra i più noti hacker della storia, poi consulente di sicurezza — sintetizza bene il problema: «Non ho mai trovato un sistema che non potessi entrare tramite il social engineering».
Principi psicologici sfruttati
Le tecniche di social engineering sfruttano bias cognitivi e principi di influenza documentati dalla psicologia sociale (Robert Cialdini, Influence, 1984):
- Autorità: le persone tendono a obbedire a figure percepite come autorevoli (CEO, IT helpdesk, forze dell’ordine).
- Urgenza / paura: il senso di emergenza disabilita il pensiero critico («il tuo account sarà bloccato entro 24 ore»).
- Reciprocità: fare un piccolo favore crea un senso di obbligo.
- Scarcity: le opportunità rare spingono all’azione impulsiva.
- Social proof: «tutti i tuoi colleghi hanno già aggiornato le credenziali».
- Liking: le persone accontentano più facilmente chi piace o con cui hanno affinità.
Tecniche principali
Phishing: invio di email fraudolente che imitano comunicazioni legittime per indurre la vittima a cliccare link malevoli o rivelare credenziali. Nella sua variante spear phishing, il messaggio è personalizzato sulla vittima specifica usando informazioni raccolte da OSINT.
Vishing (voice phishing): chiamata telefonica in cui l’attaccante si spaccia per supporto IT, banca o autorità per estrarre informazioni o far eseguire azioni alla vittima.
Smishing: phishing via SMS.
Pretexting: costruzione di uno scenario falso credibile (pretext) per giustificare la richiesta di informazioni. Es. fingersi un consulente esterno che ha bisogno di credenziali di accesso per completare un audit.
Baiting: lasciare fisicamente USB o altri supporti infetti in luoghi strategici (parcheggi aziendali, sale conferenze), contando sulla curiosità umana. Test aziendali hanno dimostrato che oltre il 40% delle USB trovate vengono inserite in computer aziendali.
Tailgating / Piggybacking: accesso fisico non autorizzato seguendo una persona autorizzata attraverso una porta controllata, sfruttando la cortesia («mi tiene la porta, ho le mani occupate?»).
Business Email Compromise (BEC): compromissione o impersonazione dell’email di un dirigente per autorizzare bonifici fraudolenti o divulgare dati riservati. Ha causato perdite da miliardi di dollari a livello globale.
Difese
La contromisura più efficace è la formazione continua del personale: simulazioni di phishing, esercizi di awareness, procedure chiare su come verificare richieste insolite. Le persone devono sapere che verificare l’identità di chi fa richieste straordinarie è un dovere, non una scortesia.
Sul piano tecnico: MFA robusto (che resiste al phishing classico ma non alle tecniche adversarial-in-the-middle), email gateway con filtri anti-spoofing (SPF, DKIM, DMARC), separazione dei canali per le autorizzazioni critiche (es. conferma telefonica per bonifici superiori a soglia).
Il principio fondamentale è che la sicurezza non è solo un problema tecnico: un sistema tecnicamente impeccabile può essere compromesso in pochi minuti da una telefonata ben costruita.