Gli attacchi di social engineering sono in aumento. Inoltre, la convergenza dell’intelligenza artificiale (IA) avanzata con il social engineering sta creando una vera e propria tempesta perfetta che sta riscrivendo le regole degli attacchi informatici, così come li conosciamo.

Che cos’è il social engineering

Si tratta di una tecnica ampiamente utilizzata dai criminali informatici, basata sulla manipolazione psicologica delle persone con l’obiettivo di indurle a rivelare informazioni riservate — come password, numeri di carte di credito o dati aziendali sensibili — oppure a compiere azioni che compromettono la sicurezza, come l’installazione involontaria di malware.

Alla base di questa strategia c’è lo sfruttamento delle caratteristiche umane più comuni: la fiducia negli altri; il desiderio di essere collaborativi; le paure personali. Tali elementi diventano veri e propri punti deboli che i cyber criminali manipolano per ottenere accesso ai sistemi e ai dati aziendali.

Purtroppo, gli attacchi di social engineering rappresentano una delle modalità più diffuse e in rapida crescita nel panorama delle minacce cyber e sono sempre più sofisticati e personalizzati, costruiti su misura per il bersaglio, con l’obiettivo di guadagnarne la fiducia e aggirare i sospetti.

Inoltre, tecnologie emergenti basate sull’IA permettono la clonazione vocale e la creazione di deepfake, potenziando ulteriormente queste minacce.

Di fatto, il fattore umano è ciò che rende particolarmente insidiosi questi attacchi, dato che gli errori commessi da utenti legittimi sono difficili da rilevare, da prevenire e da correggere. Inoltre, in molti casi, le vittime non si rendono nemmeno conto di essere state manipolate.

Tipi di attacchi di social engineering

Esistono diversi tipi di attacchi di social engineering, ognuno dei quali differisce per mezzo, per natura e per obiettivo finale. E precisamente:

Phishing – Si tratta di un attacco mirato a carpire informazioni sensibili o indurre comportamenti rischiosi attraverso messaggi fraudolenti — spesso e-mail o SMS — che simulano comunicazioni provenienti da enti affidabili come banche, istituzioni governative o aziende note. Un singolo clic può compromettere l’intera rete aziendale, provocando violazioni di dati, perdite economiche e danni reputazionali.

Spear phishing – Gli attacchi di spear phishing sono un tipo di attacco di social engineering in cui i criminali informatici prendono di mira le organizzazioni per ottenere l’accesso a informazioni riservate e sensibili. La differenza tra phishing e spear phishing sta nel bersaglio. Il phishing, in generale, è un’attività “di massa” –come sparare a caso nel mucchio – mentre lo spear fishing prende di mira un individuo specifico o un gruppo di persone all’interno di un’organizzazione per divulgare dati sensibili che il malintenzionato desidera ottenere.

Smishing – È l’abbreviazione di sms phishing ed è una tecnica di ingegneria sociale che sfrutta i messaggi di testo per indurre le vittime a scaricare malware, cliccare su link dannosi o fornire informazioni sensibili, quali credenziali o dati bancari. Pur essendo una variante del phishing, si distingue per il canale utilizzato, i.e. gli sms che godono di un tasso di apertura nettamente superiore rispetto alle e-mail. Infatti, mentre le e-mail di phishing raramente superano un tasso di apertura del 2%, i messaggi di testo possono arrivare a percentuali comprese tra l’8% e il 14%, rendendo questa tecnica particolarmente efficace.

Quid Pro Quo – In latino, quid pro quo significa letteralmente “qualcosa in cambio di qualcos’altro”. Nel contesto della social engineering, indica una tecnica in cui l’attaccante offre un presunto servizio o beneficio in cambio di informazioni riservate o accesso a sistemi aziendali.

In genere, il cyber criminale si finge un operatore di supporto IT, un tecnico dell’assistenza o un consulente esterno. Contatta la vittima — spesso telefonicamente o via e-mail — proponendo un aiuto per risolvere un problema tecnico o migliorare le prestazioni del sistema. In cambio, richiede credenziali di accesso, informazioni sensibili o convince l’utente a disattivare temporaneamente misure di sicurezza, come l’autenticazione a due fattori o un antivirus aziendale.

L’attacco si basa su un apparente atto di cooperazione: la vittima crede di ricevere un servizio utile, ma in realtà fornisce al criminale le chiavi per accedere ai sistemi informatici aziendali.

Il quid pro quo, proprio per la sua natura subdola e per la facilità con cui può aggirare i controlli di sicurezza, rappresenta una minaccia insidiosa, soprattutto in contesti con processi di verifica deboli o assenti.

Honey trapping – Si tratta di una tecnica di social engineering che sfrutta la manipolazione emotiva per ingannare la vittima. L’attaccante crea un profilo falso, spesso attraente o carismatico, con l’obiettivo di instaurare un rapporto personale con la vittima, facendo leva su adulazione, sull’interesse affettivo o sulla seduzione.

Una volta stabilita una relazione di fiducia — reale o virtuale — il malintenzionato inizia a sfruttare il legame emotivo per ottenere informazioni riservate, come credenziali di accesso, dettagli aziendali sensibili o persino l’esecuzione di azioni che compromettono la sicurezza dei sistemi.

Tale tecnica risulta particolarmente efficace perché aggira le difese razionali e agisce sul piano psicologico, facendo leva su bisogni umani profondi come il riconoscimento, l’attenzione o l’affetto. Per questo motivo, l’honey trapping è considerato una delle forme più subdole e difficili da individuare tra gli attacchi di social engineering.

Quishing (phishing del codice QR) – Gli attacchi di phishing tramite codici QR (quishing) sono aumentati del 25% su base annua, poiché gli aggressori sfruttano spazi fisici come poster o biglietti da visita falsi per attirare le vittime.

Whaling – Il whaling è un attacco di phishing che prende di mira dipendenti aziendali di alto profilo, comunemente chiamati “balene” nel gergo informatico. Si tratta di attacchi personalizzati, poiché gli autori delle minacce investono molto tempo nella ricerca del bersaglio e, sebbene sembri un attacco facilmente evitabile, la “caccia alle balene” non è così evidente come sembra.

Baiting – Il baiting è un tipo di attacco di social engineering che sfrutta la “tentazione umana” per adescare le vittime e per manipolarle al fine di convincerle a rivelare informazioni segrete o sensibili. Si tratta di messaggi che, spesso, utilizzano false promesse o inganni per catturare l’attenzione dei lettori.

I meccanismi di distribuzione del baiting includono e-mail, social media, messaggi di testo o, addirittura unità USB infette che vengono lasciate in vari punti, invogliando potenzialmente i curiosi a inserirle nei propri dispositivi.

Trend attacchi di social engineering

Gli attacchi di social engineering sono in continuo aumento e gli esperti del settore della cybersecurity ritengono che, nel 2025, potenziati dall’IA, si convertiranno nella principale minaccia alla sicurezza. Ovvero, i criminali non si affideranno più solo alle e-mail di phishing tradizionali, ma scateneranno campagne dinamiche e in tempo reale tramite sms sempre più sofisticati, chiamate vocali deepfake e persino profili social. Ci troviamo di fronte ad attacchi di social engineering multicanale, multimodale e che appresentano un livello di pericolo completamente nuovo.

Di fatto, la nostra più grande vulnerabilità è costituita dall’essere umano e, secondo il “SANS 2024 Security Awareness Report”, grazie all’AI, i cyber criminali, con il social engineering sono in grado di:

• Imitare i modelli di comunicazione organizzativa con una precisione del 94%
• Sincronizzarsi con gli eventi aziendali noti, aumentando i tassi di successo del 312%
• Adattare il linguaggio e l’approccio in base all’impronta digitale del target, migliorando l’engagement del 267%

Inoltre, il rapporto di Gartner “Hype Cycle for Emerging Technologies, 2024” evidenzia diverse tendenze critiche che le organizzazioni dovranno essere in grado di gestire in futuro e, precisamente:

• La democratizzazione degli attacchi avanzati – Secondo il rapporto “State of Cybersecurity 2025” del MIT Technology Review, in passato il social engineering più sofisticato richiedeva competenze e risorse significative. Ora, l’IA sta rendendo queste capacità accessibili a una gamma più ampia di threat actor, con il costo medio per lanciare un attacco basato sull’IA in calo dell’83% dal 2023.
• Integrazione con i vettori di attacco tradizionali – Il social engineering basato sull’IA non sta sostituendo i metodi di attacco tradizionali, ma li sta potenziando, creando minacce ibride che sono 4,7 volte più difficili da rilevare e da prevenire.
• Il fattore velocità – Le capacità di automazione e la scalabilità dell’IA consentono di lanciare, di modificare e di rilanciare gli attacchi quasi in tempo reale, con un ciclo di attacco medio ridotto da 24 ore a soli 15 minuti.

Come contrastare il social engineering

L’evoluzione degli attacchi di social engineering, pertanto, le organizzazioni devono mutare le proprie difese per contrastare i nuovi attacchi di social engineering, considerando l’implementazione delle strategie di seguito descritte.

Adottare protocolli di autenticazione avanzati – Si tratta di:

• Implementare un’autenticazione multifattoriale (Multi-Factor Authentication – MFA) che vada oltre i metodi tradizionali.
• Considerare la biometria comportamentale e l’autenticazione continua, che hanno dimostrato di ridurre gli attacchi riusciti del 96% secondo quanto si evince da diversi report di settore.
• Stabilire la verifica “fuori banda” per le transazioni ad alto rischio.

Rivoluzionare gli approcci formativi – Ovvero:

• Passare dai tradizionali programmi di sensibilizzazione ai sistemi di apprendimento adattivo basati sull’intelligenza artificiale.
• Implementare la formazione basata sulla simulazione basata sull’IA, che ha mostrato un miglioramento del 312% nel rilevamento delle minacce (fonte KnowBe4 Enterprise study 2024).
• Concentrarsi sullo sviluppo della cosiddetta “ragion critica”, piuttosto che limitarsi a seguire le liste di controllo.

Adottare la difesa basata sull’IA

• Implementare sistemi in grado di rilevare contenuti generati dall’IA con una precisione del 98,7% (fonte Google Cloud Security Intelligence Report).
• Implementare l’analisi dei modelli di comunicazione in tempo reale.
• Utilizzare l’analisi predittiva per identificare potenziali vettori di attacco prima che si materializzino.

Conclusione

La convergenza tra IA e social engineering sta dando vita a una vera e propria tempesta perfetta, segnando forse il cambiamento più radicale nel panorama delle minacce informatiche.

Di fatto, gli strumenti a disposizione degli attaccanti non sono mai stati così potenti — ma lo stesso vale per le nostre capacità di difesa. Pertanto, la risposta non può limitarsi a un confronto tecnologico tra IA di attacco e IA di difesa. Serve un nuovo paradigma di sicurezza, che integri l’evoluzione delle tecnologie con il valore insostituibile dell’intuizione e del giudizio umano. Pertanto, in questo scenario in rapida evoluzione, la nostra capacità di adattarci, apprendere e anticipare sarà determinante per restare al sicuro.

Gli attacchi di social engineering del futuro sono già qui e si tratta di anticipare l’imprevedibile certezza di questi attacchi, garantendo una di cyber resilienza scaturita dall’implementazione dei principi di risk management, business continuity e cybersecurity, oltre che da una continua formazione ed esercitazioni del personale.

Cybsec-news.it vi invita alla terza edizione della CYBSEC-EXPO, in programma a Piacenza dal 9 all’11 Giugno 2026.