f in x
Social Engineering: le tecniche più usate dagli hacker (e come difendersi)
> cd .. / HUB_EDITORIALE > Visualizza in Inglese
Sicurezza Informatica

Social Engineering: le tecniche più usate dagli hacker (e come difendersi)

[2026-06-02] Author: Ing. Calogero Bono

Hai ricevuto una mail dal tuo capo che ti chiede di trasferire urgentemente 5.000 euro? O un messaggio WhatsApp dalla tua banca che ti avvisa di un accesso sospetto? Prima di cliccare, fermati. Il problema non è tecnico: è umano. Gli attacchi di social engineering sfruttano proprio questo – la tua fiducia, la tua fretta, la tua paura. Noi vediamo ogni giorno aziende che spendono migliaia di euro in firewall e antivirus, ma poi cadono in una trappola con una semplice telefonata. In questa guida ti spieghiamo le tecniche più diffuse oggi e come riconoscerle, con azioni concrete che puoi applicare subito.

Perché il fattore umano è l'anello debole

Un sistema informatico ben configurato può resistere a un attacco diretto. Ma un dipendente ben addestrato? È lì che si gioca la partita. Il social engineering non cerca di bucare il tuo codice: cerca di convincerti a fare tu la fesseria. Email, telefonate, SMS, persino visite fisiche. Tutti vettori che aggirano i controlli tecnici perché puntano alle persone. Noi, di Meteora Web, lo abbiamo visto in prima persona: un cliente che aveva speso 20.000 € in sicurezza perimetrale è stato truffato da una mail di phishing che sembrava provenire dal suo commercialista. Da lì abbiamo capito che la sicurezza non è solo software: è formazione e processi.

Phishing: la regina indiscussa

Il phishing è il metodo più utilizzato: un'email contraffatta che imita un mittente legittimo (banca, fornitore, collega) e ti chiede di cliccare un link, scaricare un allegato o fornire credenziali. Oggi, con l'AI, i messaggi sono praticamente indistinguibili dagli originali – niente più errori di grammatica o loghi pixelati.

Come riconoscere un tentativo di phishing

Non guardare il nome del mittente, guarda l'indirizzo email. “mario.rossi@azienda.com” non è uguale a “mario.rossi@az1enda.com”. Inoltre, controlla il link prima di cliccare: passa il mouse sopra e leggi l'URL reale. Se ti porta a “paga-fattura-urgente.xyz”, scappa.

Esempio di link malevolo nascosto:
<a href="http://phishing-site.xyz/aggiorna-banca">Clicca qui per sbloccare il conto</a>

Azione pratica: verifica l'autenticità

Ogni email sospetta va verificata con un canale diverso. Chiama il mittente al telefono (non il numero indicato nella mail). Non rispondere mai, non inoltrare a colleghi senza aver controllato.

Vishing (voice phishing): l'AI chiama per te

Nel 2025, il vishing è cresciuto esponenzialmente grazie alla clonazione vocale con AI. Pochi secondi di audio (da un video su LinkedIn o una chiamata precedente) bastano per generare una copia perfetta della voce del tuo CEO. Il truffatore chiama il CFO e ordina un bonifico “urgente”.

Come difendersi dal vishing

Non fidarti della voce. Istituisci un codice di verifica verbale. Quando ricevi una richiesta sensibile via telefono, chiedi di ripetere una parola chiave prestabilita (es. “colore del progetto”) che solo il vero interlocutore conosce. In azienda, obbliga una doppia autorizzazione per bonifici sopra una certa soglia – sempre via email separata o piattaforma interna.

SMiShing e QRishing: messaggi e codici QR

Gli SMS (SMiShing) e i codici QR (QRishing) sono vettori in crescita. Un messaggio: “Il tuo pacco è in giacenza, clicca qui” o un adesivo con un QR su una colonna: “Scansiona per sconto!”. Il codice QR ti porta a un sito clone che ruba le tue credenziali.

Azione pratica: non scansionare codici QR da fonti sconosciute

Prima di inquadrare un QR, verifica la provenienza. Se è su un volantino per strada, no. Se arriva via email, controlla il mittente. Usa app che mostrano l'anteprima dell'URL prima di aprire (es. QR Scanner con preview).

Pretexting: la costruzione di una storia credibile

Il truffatore si finge qualcun altro (tecnico, polizia, fornitore) e ti convince a fornire informazioni. Esempio: “Sono Mario del supporto IT, stiamo migrando il sistema e ho bisogno della tua password per test”. Nessun tecnico serio chiede mai la password. Il pretexting funziona perché gioca su ruoli di autorità o urgenza.

Come neutralizzarlo

Verifica sempre l'identità attraverso un canale ufficiale. Chiama il reparto IT usando il numero interno dell'azienda, non quello fornito dall'interlocutore. Non dare mai password, codici di accesso o dati sensibili a telefono o email, anche se sembrano legittimi.

Baiting e Quid Pro Quo: l'esca e lo scambio

Baiting: lasci una chiavetta USB infetta in un parcheggio, qualcuno la trova e la collega al PC aziendale per curiosità. Quid Pro Quo: offri un “aiuto tecnico gratuito” in cambio dell'accesso remoto al computer. Entrambe sfruttano la curiosità o l'interesse della vittima.

Azione pratica: politica dei dispositivi rimovibili

In azienda, disabilita l'esecuzione automatica di USB non autorizzate via Group Policy o MDM. Per i dipendenti, regola chiara: mai inserire chiavette trovate o regalate, mai concedere accesso remoto a sconosciuti.

Tailgating: entrare in aree riservate seguendo qualcuno

Un attacco fisico: l'attaccante aspetta un dipendente all'ingresso e lo segue fingendo di essere un collega (magari con le mani piene di scatole). Una volta dentro, può installare dispositivi di ascolto o rubare documenti.

Difesa pratica

Può sembrare banale, ma la barriera più efficace è la cultura aziendale: non tenere mai la porta aperta per sconosciuti, anche se sembrano autorizzati. Badge obbligatorio anche per chi sembra di fretta.

In sintesi – cosa fare adesso

  1. Forma il personale: sessioni brevi e periodiche di phishing simulato (ci sono strumenti come GoPhish). Noi lo facciamo per i nostri clienti.
  2. Adotta la verifica a due fattori per ogni richiesta sensibile: telefono + email + codice verbale.
  3. Non cliccare mai link non verificati: apri manualmente il sito ufficiale digitando l'URL.
  4. Limitare i privilegi informativi: solo chi deve sapere, sa. Più dati hai, più sei vulnerabile.
  5. Segnala subito: se cadi in una truffa, cambia password, avvisa il reparto IT e segnala alla polizia postale.

Il social engineering non si fermerà, ma la tua consapevolezza sì. Noi di Meteora Web lavoriamo ogni giorno per rendere le PMI italiane più sicure, partendo dalle persone. Se vuoi approfondire, dai un'occhiata al nostro articolo su come gli hacker hanno rubato account Instagram sfruttando il chatbot AI del supporto Meta: un caso pratico di social engineering che ha funzionato grazie all'AI.

Sponsored Protocol

Ing. Calogero Bono

> AUTHOR_EXTRACTED

Ing. Calogero Bono

Co-founder di Meteora Web. Ingegnere informatico, sviluppo ecosistemi digitali ad alte prestazioni. AI, automazione, SEO tecnica e infrastrutture web. Scrivo di tecnologia per rendere complesso… semplice.

[ Read Full Dossier ]

Hai bisogno di applicare questa strategia?

Esegui il protocollo di contatto per iniziare un progetto con noi.

> INIZIA_PROGETTO

Sponsored

> MW_JOURNAL

Incident Response: le fasi di preparazione, rilevamento e contenimento — Guida operativa
2026-06-02

Incident Response: le fasi di preparazione, rilevamento e contenimento — Guida operativa

Terremoto magnitudo 6.2 al largo della Calabria: scossa profonda avvertita in tutta la Sicilia e nel Sud Italia
2026-06-02

Terremoto magnitudo 6.2 al largo della Calabria: scossa profonda avvertita in tutta la Sicilia e nel Sud Italia

Apple si prepara alla WWDC 2026 tra aggiornamenti software, iPhone Ultra pieghevole e Siri rinnovata
2026-06-01

Apple si prepara alla WWDC 2026 tra aggiornamenti software, iPhone Ultra pieghevole e Siri rinnovata

SpaceX IPO: l'accesso all'acqua diventa un fattore di rischio per i data center
2026-06-01

SpaceX IPO: l'accesso all'acqua diventa un fattore di rischio per i data center

Anthropic annuncia IPO: la mossa che cambia le regole dell'AI globale
2026-06-01

Anthropic annuncia IPO: la mossa che cambia le regole dell'AI globale

> READ_ALL()