Un tizio con un badge falso si presenta alla reception. Dice di essere il tecnico informatico mandato dalla sede centrale. Ha una scadenza urgente. Ti chiede di accompagnarlo al server room. Due ore dopo, i dati sono crittografati e sul monitor compare un messaggio di riscatto. Questo non è un copione da film. È un attacco di pretexting con impersonazione fisica. Noi, di Meteora Web, lo vediamo accadere più spesso di quanto si creda, soprattutto nelle PMI italiane che non hanno blindato le procedure di accesso.
Veniamo dalla contabilità e dalla gestione ERP: i numeri sono chiari. Un attacco del genere costa in media 50.000 € di fermo produttivo, ripristino e consulenza forense. E la maggior parte delle aziende potrebbe evitarlo con due o tre accorgimenti organizzativi. In questa guida operativa vi spieghiamo come riconoscere, prevenire e reagire agli attacchi di persona basati sul pretexting.
Cos'è il Pretexting e Perché è Diverso dal Phishing?
Il pretexting è una tecnica di social engineering in cui l'attaccante costruisce una storia credibile (un pretesto) per ottenere informazioni o accesso. A differenza del phishing, che usa email o link fasulli, il pretexting si basa sull'interazione diretta: di persona, al telefono (vishing) o via messaggio (smishing). La differenza cruciale? Mentre il phishing cerca di ingannare l'attenzione visiva, il pretexting punta sulla fiducia e sull'autorità percepita.
Sponsored Protocol
La differenza tra pretexting e phishing/vishing
Il phishing sfrutta il riflesso di cliccare su un link. Il vishing (telefonico) gioca sulla pressione psicologica. Il pretexting in presenza va oltre: l'attaccante si presenta fisicamente, con un badge falso, una divisa, un tono sicuro. È più difficile da smascherare perché il cervello umano è programmato per fidarsi di ciò che vede. Noi abbiamo gestito il sistema ERP di un negozio di abbigliamento: se uno si presentava in magazzino dicendo "Sono il nuovo fornitore", il personale lo lasciava entrare senza verificare. Oggi, in una nostra procedura, ogni accesso fisico viene autorizzato con un codice temporaneo inviato via SMS al responsabile.
Esempio reale: Un falso tecnico ADSL si presenta in una piccola azienda di 15 dipendenti, dice di dover "ripristinare la linea". L'addetto alla reception lo accompagna al router. Il falso tecnico installa una chiavetta USB con malware. Risultato: 10 giorni di inattività e 70.000 € di perdita. Questo è pretexting puro.
Come Funziona un Attacco di Impersonazione Fisica?
L'attacco si svolge in tre fasi principali. Capirle aiuta a smontarle una a una.
Sponsored Protocol
Fase 1: Raccolta informazioni (pretext)
L'attaccante studia l'azienda. Siti web, social media, LinkedIn, organigrammi, newsletter. Scopre il nome del responsabile IT, del direttore, le marche dei computer (dalle foto postate su Instagram). Con queste informazioni costruisce un pretesto credibile.
Fase 2: Contatto e accesso
Si presenta alla reception con il nome del responsabile IT: "Sono Mario, il tecnico che ha parlato con il dottor Rossi per l'aggiornamento del firewall". Mostra un badge falso (spesso stampato su carta lucida). La receptionist non chiama a verificare perché ha fretta e perché l'attaccante ha usato il nome giusto.
Fase 3: Escalation e danno
Una volta dentro, l'attaccante cerca di raggiungere l'obiettivo: chiavetta USB infetta, registrazione di password, installazione di keylogger, accesso fisico a un server. L'escalation può avvenire in pochi minuti. L'attaccante usa la scusa di "non avere il telecomando" per farsi accompagnare in aree riservate.
Quali Sono gli Obiettivi Più Comuni di un Pretexting in Presenza?
Gli attaccanti non vogliono rubare la stampante. Gli obiettivi sono tre:
- Accesso fisico a server e apparati di rete: Per infettare, crittografare o esfiltrare dati.
- Credenziali di accesso: Chiedono di "digitare la password per un test" o guardano mentre scrivete.
- Documenti cartacei o digitali: Contratti, fatture, dati clienti, credenziali bancarie.
Noi, di Meteora Web, ragioniamo in termini di margine e ritorno. Un attacco riuscito su una PMI che fattura 500.000 € può significare perdere il 20% del fatturato annuo per fermo e riscatto. Molto più di quanto costi implementare una procedura di verifica d'identità.
Sponsored Protocol
Come Riconoscere un Tentativo di Impersonazione?
Non esistono raggi X per i badge, ma ci sono segnali d'allarme che tutti i dipendenti dovrebbero conoscere.
Segnali d'allarme
- Mancanza di comunicazione preventiva: Nessuno ha avvisato dell'arrivo di un tecnico o fornitore.
- Pressione temporale: Frasi come "Devo risolvere subito, è urgente" o "Il capo ha detto di fare presto".
- Richiesta di accompagnamento: Chiedono di essere scortati in aree sensibili con la scusa di "non conoscere i locali".
- Badge o divisa di bassa qualità: Stampa sbavata, logo sbiadito, tessuto diverso.
- Rifiuto di attendere o fornire documenti: Se chiedete un numero di telefono di verifica, diventano evasivi.
Esempio concreto
Un cliente aveva un centralino VoIP. Arriva un tizio con la divisa del gestore telefonico, dice che deve "aggiornare il firmware del centralino". L'addetto lo fa entrare. Il tizio si collega a una porta di console e installa un backdoor. Dopo tre giorni partono chiamate verso numeri a pagamento per 15.000 €. Il cliente ha scoperto solo a fine mese con la bolletta. Oggi hanno una procedura: ogni intervento esterno richiede un ticket numerato e un codice OTP generato dall'ERP.
Sponsored Protocol
Come Proteggere la Tua Azienda dagli Attacchi di Persona
La difesa è organizzativa, non tecnologica. Ma la tecnologia aiuta.
Procedure di verifica obbligatorie
Ogni persona esterna che entra deve essere annunciata e autorizzata. Il receptionist o il referente deve chiamare il contatto di riferimento per confermare. Non basta un nome su un badge. Noi usiamo una procedura semplice: un foglio firmato dal responsabile con data e orario, e chi entra firma un registro.
Formazione dei dipendenti
Fate un test annuale: ingaggiate un attore che si presenta come tecnico informatico. Se qualcuno lo fa entrare, non punite, ma spiegate l'errore. La formazione deve essere pratica, non un PowerPoint.
Tecnologia a supporto
Installate videocitofoni con telecamera, badge elettronici con foto, sistemi di accesso con PIN temporaneo. Per visite programmate, mandate un codice QR via email che viene scansionato all'ingresso.
Cultura della verifica
Insegnate ai dipendenti che chiedere è un diritto, non una scortesia. "Mi dispiace, devo verificare con il responsabile" è la frase che ferma il 90% degli attacchi. Se l'attaccante è legittimo, sarà contento che l'azienda sia seria.
Sponsored Protocol
Cosa Fare Subito — Checklist Operativa
Ecco le azioni concrete che potete eseguire domani mattina:
- 1. Mappate gli accessi fisici: Fate un giro dell'ufficio e identificate tutte le porte, le stanze server, gli armadi di rete. Decidete chi può accedervi.
- 2. Create un modulo di autorizzazione visite: Anche su carta. Richiede firma del responsabile, orario e motivo.
- 3. Stampate e affiggete un cartello: "Ogni visitatore esterno deve essere accompagnato da un dipendente. Non accompagnate mai un estraneo senza autorizzazione."
- 4. Fate un test di impersonazione: Chiedete a un amico di provare a entrare con una scusa. Valutate il risultato.
- 5. Aggiornate le policy di sicurezza: Inserite una sezione specifica sul pretexting fisico.
Noi, di Meteora Web, abbiamo aiutato aziende a implementare queste procedure in mezza giornata lavorativa. Il costo è irrisorio rispetto a un incidente. Se volete un check approfondito della vostra esposizione, partite dalla nostra guida pillar sul social engineering.
Ricordate: la sicurezza non è solo software. È anche chi entra dalla porta. E un badge falso può costare più di un ransomware.