In Breve (TL;DR)
- Il social engineering è una tecnica di manipolazione che sfrutta il comportamento umano per rubare dati, credenziali o installare malware.
- Le truffe moderne utilizzano anche l'intelligenza artificiale, con email più credibili, voci clonate, deepfake e tecniche come ClickFix.
- Verificare sempre il mittente, attivare l'autenticazione a due fattori e diffidare delle richieste urgenti sono tra le migliori difese contro questi attacchi.
Ogni giorno riceviamo email, messaggi, telefonate e notifiche che ci invitano a compiere un'azione: cliccare su un link, confermare un pagamento, verificare un account o installare un aggiornamento. Nella maggior parte dei casi si tratta di comunicazioni legittime, ma alcune sono progettate per ingannare l'utente e convincerlo a compiere un'azione che favorisce un attacco informatico.
Questa tecnica prende il nome di social engineering (ingegneria sociale) e rappresenta ancora oggi uno dei principali strumenti utilizzati dai cybercriminali. A differenza degli attacchi che sfruttano vulnerabilità tecniche, il social engineering punta sulla persona, facendo leva su emozioni, abitudini e automatismi per ottenere informazioni riservate o l'accesso a dispositivi e account.
Negli ultimi anni l'intelligenza artificiale ha reso queste truffe ancora più sofisticate. Oggi i criminali possono creare email prive di errori, clonare una voce, realizzare video deepfake o simulare l'assistenza di aziende molto conosciute con un livello di realismo mai visto prima.
Cos'è il social engineering
Con il termine social engineering si indica un insieme di tecniche che mirano a manipolare il comportamento delle persone per ottenere un vantaggio. L'obiettivo può essere molto diverso: rubare password, dati bancari o informazioni personali, convincere la vittima a effettuare un bonifico oppure installare inconsapevolmente un malware sul proprio computer. In pratica, invece di cercare una falla in un software, il criminale cerca una "falla" nel comportamento umano. Per riuscirci costruisce situazioni credibili che spingono la vittima ad abbassare le difese e ad agire senza riflettere.
Come funziona un attacco di social engineering
Quasi tutti gli attacchi seguono uno schema simile. Il primo passo consiste nel raccogliere informazioni sulla vittima attraverso social network, siti web, dati pubblici o precedenti violazioni informatiche.
Successivamente viene costruita una storia credibile (pretexting), ad esempio fingendosi un corriere, il supporto tecnico di Microsoft, la banca, un collega di lavoro o una piattaforma come Google Meet o Booking.com.
A questo punto entra in gioco la componente psicologica. L'attaccante crea un senso di urgenza ("Il tuo account verrà bloccato"), di paura ("Hai subito un accesso sospetto"), di autorità ("Ti contatta il reparto IT"), oppure di curiosità ("Guarda questa foto"). L'obiettivo è spingere la vittima ad agire rapidamente, senza verificare la richiesta.
Le tecniche di social engineering più diffuse
Il phishingrimane una delle tecniche più utilizzate. Attraverso email o siti contraffatti, i criminali cercano di convincere gli utenti a inserire credenziali, dati bancari o informazioni personali.
Accanto al phishing tradizionale si sono diffuse nuove varianti:
- Smishing, che utilizza gli SMS.
- Vishing, basato su telefonate o messaggi vocali.
- Quishing, che sfrutta QR Code fraudolenti.
- Spear phishing, rivolto a una persona specifica utilizzando informazioni raccolte in precedenza.
Negli ultimi mesi si è affermata anche ClickFix, una tecnica che non punta a rubare direttamente le credenziali, ma convince la vittima a copiare e incollare un comando nel Prompt dei comandi o nel Terminale, installando così un malware sul proprio computer.
Anche WhatsApp e le piattaforme di messaggistica sono diventate strumenti sempre più utilizzati dai criminali per diffondere link fraudolenti, falsi premi o richieste di denaro apparentemente provenienti da amici e familiari.
L'intelligenza artificiale rende le truffe di social engineering più credibili
L'AI generativa ha cambiato profondamente il social engineering. Se in passato molte email fraudolente erano riconoscibili per errori grammaticali o traduzioni approssimative, oggi i modelli linguistici permettono di creare messaggi praticamente indistinguibili da quelli autentici.
Non solo. I software di clonazione vocale consentono di imitare la voce di una persona partendo da pochi secondi di registrazione, mentre i deepfake permettono di realizzare video sempre più realistici.
Questo significa che una telefonata apparentemente proveniente da un familiare o un videomessaggio attribuito a un dirigente aziendale potrebbe essere completamente artificiale.
Per questo motivo gli esperti consigliano sempre di verificare le richieste più importanti attraverso un secondo canale di comunicazione, soprattutto quando riguardano denaro, credenziali o dati sensibili.
Come difendersi dal social engineering
La migliore difesa rimane l'attenzione. Nessuna tecnologia può sostituire la capacità di fermarsi qualche secondo prima di compiere un'azione insolita. È buona norma verificare sempre il mittente di un'email, controllare l'indirizzo del sito web prima di inserire password, diffidare di messaggi che fanno leva sull'urgenza e non aprire allegati o collegamenti provenienti da fonti sconosciute.
È altrettanto importante attivare l'autenticazione a due fattori (MFA), utilizzare password robuste e mantenerle diverse per ogni servizio. Infine, è bene ricordare che nessun servizio affidabile chiede normalmente di copiare e incollare comandi nel Prompt dei comandi, nella finestra Esegui di Windows o nel Terminale del computer per risolvere un problema tecnico. Se una pagina web invita a farlo, è molto probabile che si tratti di un tentativo di social engineering.
Con la diffusione dell'intelligenza artificiale le truffe diventeranno sempre più sofisticate. Conoscere il funzionamento del social engineering e imparare a riconoscerne i segnali resta quindi una delle forme di difesa più efficaci per proteggere dati, dispositivi e identità digitale.
Per saperne di più:Sicurezza informatica: guida alla navigazione sicura sul web
Domande frequenti (FAQ)
-
Che cos'è il social engineering?È una tecnica utilizzata dai cybercriminali per manipolare le persone e convincerle a compiere azioni che mettono a rischio dati, account o dispositivi.
-
In che modo l'intelligenza artificiale viene usata nel social engineering?L'AI permette di creare email più credibili, clonare voci, realizzare deepfake e automatizzare campagne di phishing sempre più sofisticate.
-
Quali sono gli attacchi di social engineering più comuni?Tra i più diffusi ci sono phishing, smishing (tramite SMS), vishing (telefonate), quishing (QR Code fraudolenti), spear phishing e tecniche più recenti come ClickFix.
-
Come posso difendermi dal social engineering?È importante verificare sempre il mittente dei messaggi, non cliccare su link sospetti, attivare l'autenticazione a due fattori, usare password robuste e diffidare delle richieste che fanno leva sull'urgenza.
-
Cos'è ClickFix e perché è pericoloso?ClickFix è una tecnica di social engineering che induce la vittima a copiare e incollare un comando nel Prompt dei comandi o nel Terminale, installando inconsapevolmente un malware sul proprio dispositivo.



