Il social engineering (ingegneria sociale) è una forma di attacco informatico che non punta primariamente sulle vulnerabilità tecniche, ma sull’essere umano. Secondo Trend Micro, l’inganno è al centro di questa strategia: i cybercriminali costruiscono storie false che fanno leva su tratti umani universali come la credulità, la curiosità, l’avidità o persino la paura, per spingere la vittima a compiere azioni dannose o a rivelare dati sensibili.

Questa tattica è sorprendentemente efficace perché bypassa barriere tecniche sofisticate: è più facile convincere una persona a fare un errore piuttosto che sfruttare direttamente una falla nella sicurezza.

Le tecniche di attacco più diffuse

Gli attacchi di social engineering possono assumere molte forme: phishing, baiting, pretexting, scareware, spear phishing, whaling, tailgating, e persino truffe basate su AI.

Phishing è uno dei metodi più comuni. L’attaccante invia email o messaggi che sembrano provenire da fonti affidabili, inducendo la vittima a cliccare su link malevoli o ad aprire allegati per poi estrarre dati personali o finanziari.

Baiting sfrutta l’avidità o la curiosità della vittima, promettendo qualcosa di allettante (ad esempio un file interessante su una chiavetta USB), che però nasconde malware.

Pretexting: l’attaccante inventa una situazione (un falso pretesto) per ottenere dati. Ad esempio, può fingersi un tecnico IT o un rappresentante bancario che richiede conferme su dati sensibili.

Scareware: si generano falsi allarmi su virus o problemi di sicurezza per spaventare la vittima e convincerla a installare “soluzioni”, che in realtà sono malware.

Spear phishing / Whaling: versioni mirate di phishing: lo spear phishing focalizza l’attacco su singole persone o organizzazioni, mentre il whaling pran­ desi di mira obiettivi di alto profilo, come dirigenti o CEO.

Tailgating: tecnica fisica: un attaccante “si attacca” a una persona autorizzata per entrare in un’area sicura, sfruttando la cortesia o la fiducia altrui.

Scam basati su AI: negli ultimi tempi, gli hacker usano l’intelligenza artificiale per generare testi, immagini, voci o video falsi (deepfake) e creare truffe ancora più convincenti.

Quale relazione esiste tra social engineering e phishing?

È fondamentale capire che il phishing non è altro che una variante specifica del social engineering. Non tutti gli attacchi di social engineering sono phishing — il social engineering è un termine più ampio, che include manipolazioni psicologiche di vario genere.

Quando un attaccante utilizza l’email o SMS per ingannare la vittima (“clicca qui”, “aggiorna i dati”), sta applicando una tecnica di phishing, ma lo sta facendo usando strategie di social engineering. In altre parole, il phishing è il mezzo (canale nel phishing digitale), mentre il social engineering è la tecnica psicologica di persuasione alla base dell’inganno stesso.

Il phishing è uno dei principali tipi di ingegneria sociale, perché si appoggia proprio sull’illusione di una comunicazione autentica per trarre in inganno la vittima.

Il ruolo dell’autorevolezza: manipolare con il potere percepito

Una leva psicologica potentissima nel social engineering è il concetto di autorità (o autorevolezza). Gli attaccanti spesso si spacciano per figure di potere: dirigenti, tecnici, funzionari di una banca, ufficiali governativi, o altri soggetti percepiti come legittimi e autorevoli.

Quando il messaggio sembra provenire da una fonte “autorevole”, la vittima è più incline a dare credito a ciò che viene detto e ad agire senza mettere in dubbio il contenuto. Questo senso di fiducia riflette un principio psicologico: le persone tendono a obbedire o a fidarsi di figure che sembrano avere potere o conoscenza superiore.

Gli hacker sanno che convincere le vittime che la richiesta proviene da un’autorità legittima è un metodo estremamente efficace per spingerle a cooperare – basta un tono formale, un logo, o dettagli che sembrano autentici per abbassare le difese. Questo rapporto tra social engineering e autorevolezza è centrale perché rende l’inganno credibile.

Qual è il tipico obiettivo del social engineering?

Qual è il tipico obiettivo del social engineering? In molti casi, l’attaccante vuole che la vittima compia un’azione che ha conseguenze negative per lei stessa o per la sua azienda: fornire credenziali (nome utente, password), dati finanziari, numeri di carta, dati personali, oppure installare malware sul proprio dispositivo che consente l’accesso remoto o l’infiltrazione.

L’ingegnere sociale può voler ottenere:

• informazioni personali sensibili;
• credenziali di accesso a sistemi aziendali;
• installazione di malware, backdoor o ransomware;
• trasferimenti di denaro o autorizzazioni da parte della vittima;
• accesso fisico a luoghi protetti (con tecniche come tailgating).

L’obiettivo può essere economico, ma può anche essere strategico: ad esempio, ottenere dati aziendali riservati o compromettere la sicurezza di un’organizzazione. Spesso, dietro un attacco di social engineering c’è una pianificazione psicologica accurata, fatta su misura per la vittima, soprattutto nei casi di spear phishing o whaling.

Perché il social engineering è così efficace?

Ci sono diversi motivi per cui il social engineering è considerato una delle armi più potenti degli hacker:

• Sfrutta la psicologia umana

Le vulnerabilità psicologiche (fiducia, paura, urgenza, desiderio) sono spesso più facili da manipolare rispetto a un sistema tecnico robusto.

• Difficile da rilevare

Non è un bug nel software, ma un trucco sociale. I sistemi di sicurezza tradizionali possono proteggere contro malware e exploit tecnici, ma faticano a intercettare un messaggio convincente che chiede di consegnare le credenziali.

• Bassi costi per l’attaccante

Molti attacchi di social engineering richiedono pochi strumenti (e-mail, telefono, messaggi), ma possono produrre grandi guadagni. Non serve scrivere codice complesso se si sa ingannare le persone.

• Adattabilità

Gli attaccanti possono modellare la loro tecnica in base alla vittima: un dipendente di una grande azienda, un dirigente, un impiegato vulnerabile. Tecniche come lo spear phishing permettono di personalizzare il messaggio per essere particolarmente persuasivi.

• Scalabilità con l’AI

Con l’intelligenza artificiale, gli hacker possono generare messaggi, voci o video falsi con un livello di realismo sempre maggiore, rendendo il social engineering ancora più pericoloso ed efficace. Trend Micro indica che gli attacchi basati su AI sono ormai una minaccia concreta.

Altri esempi e varianti

Oltre al phishing, esistono attacchi meno noti ma altrettanto pericolosi basati sull’ingegneria sociale:

• vishing: è una forma di phishing vocale in cui l’attaccante chiama la vittima, fingendosi un’autorità o un operatore, chiedendo informazioni personali o finanziarie;
• shoulder surfing: un attaccante osserva direttamente (o tramite dispositivi) la vittima mentre digita password, PIN o altre informazioni sensibili.

Questi metodi mostrano come l’ingegneria sociale non sia solo un fenomeno digitale, ma anche fisico e psicologico, capace di attaccare la “parte umana” della sicurezza da angolazioni differenti.

Come difendersi: prevenzione e consapevolezza

Contrastare il social engineering richiede un approccio che combina formazione, tecnologia e buone pratiche:

• Awareness e formazione

Le persone devono essere educate a riconoscere le tecniche psicologiche comuni: messaggi che creano senso di urgenza, richieste di informazioni personali da fonti apparentemente autorevoli, email insolite. Le aziende possono organizzare campagne di security awareness.

• Verifica dell’autenticità

Prima di fornire dati, è importante verificare la fonte della richiesta. Se ricevi una email apparentemente “importante” da un dirigente o da un ente, chiedi conferma tramite un secondo canale (telefono ufficiale, contatto noto).

• Procedure sicure

Stabilire procedure standard per la richiesta di informazioni sensibili o per l’installazione di software. Nessuna richiesta urgente deve bypassare i controlli: avere policy chiare aiuta a proteggersi.

• Tecnologie di sicurezza

Usare filtri antiphishing, autenticazione a più fattori (MFA), sistemi di monitoraggio. Questi strumenti non eliminano completamente il rischio di ingegneria sociale, ma possono renderlo più difficile da sfruttare.

• Simulazioni di attacco

Le aziende possono eseguire test di phishing simulato o campagne di pretexting controllate per valutare quanto il proprio personale è vulnerabile al social engineering e per rafforzare la resilienza.

Conclusioni

Il social engineering è probabilmente una delle armi più pericolose e sottovalutate a disposizione degli hacker proprio perché sfrutta la parte più debole di qualsiasi sistema di sicurezza: l’essere umano. Non serve una vulnerabilità tecnica sofisticata se si può convincere una persona a rivelare la password, aprire un allegato pericoloso oppure cliccare su un link ingannevole.

La relazione tra social engineering e phishing è chiara: il phishing è una forma comune di ingegneria sociale, ma il social engineering include molte altre tecniche. L’autorevolezza, ovvero la percezione di potere o legittimità da parte dell’attacco, è una leva psicologica potentissima che gli hacker usano per manipolare le vittime.

Infine, il tipico obiettivo del social engineering rimane l’ottenimento di dati sensibili, credenziali o l’induzione a eseguire comportamenti rischiosi, spesso con conseguenze gravi per aziende e individui. La difesa non può quindi essere solo tecnologica: serve consapevolezza, cultura della sicurezza e un’organizzazione che non sottovaluti l’inganno psicologico.

Contrastare il social engineering significa riconoscere che la cybersecurity non è fatta solo di firewall e antivirus, ma anche di educazione, empatia e attenzione alle dinamiche umane.

Credits: Gudendemir/GettyImages