Altro che vulnerabilità tecniche: il cybercrimine punta sugli errori umani

L’ingegneria sociale (social engineering) si conferma il principale vettore di attacco cyber. È il dato che emerge dagli studi di Unit 42 di Palo Alto Networks, secondo cui un terzo di tutti i casi di risposta agli incidenti analizzati, registrati tra maggio 2024 e maggio 2025, sono iniziati proprio con una tattica di social engineering.

A questo fenomeno, Unit 42 ha dedicato “Global Incident Response Report 2025: Social Engineering Edition”, che analizza il modo in cui gli attaccanti stiano sfruttando la fiducia per violare le aziende, portando a interruzioni delle attività operative e perdite finanziarie. Gli insight derivano dalla telemetria di Palo Alto Networks, da oltre 700 casi di studio di risposta agli incidenti e dalla costante ricerca sulle minacce di Unit 42.

L’ingegneria sociale è il vettore di accesso iniziale più comune osservato, con il phishing che rappresenta il 65% dei casi. Questi attacchi spesso prendono di mira account privilegiati (66%), utilizzano l’impersonificazione di personale interno (45%) e prevedono tecniche di callback o basate sulla voce (23%), sempre più sofisticate da quando gli attaccanti sfruttano l’AI.

Il successo dell’ingegneria sociale deriva dalla scelta dei cybercriminali di puntare sul comportamento umano e su controlli deboli, invece che su vulnerabilità tecniche. Sono diversi i principali schemi chiave che determinano il successo di questi attacchi:

Interruzione delle attività: gli attacchi di ingegneria sociale hanno portato all’esposizione di dati nel 60% dei casi, 16 punti percentuali in più rispetto ad altri vettori di accesso iniziale. Le compromissioni di email aziendali (BEC) hanno rappresentato circa la metà di tutti i casi di social engineering, con quasi il 60% che ha causato l’esposizione di dati.

Nuovi vettori: sebbene il phishing sia il metodo più usato, il 35% dei casi di ingegneria sociale utilizza altri strumenti quali avvelenamento SEO (SEO poisoning), malvertising, smishing e MFA bombing. Gli attaccanti stanno ampliando il loro raggio d’azione oltre l’email.

Lacune nei controlli: alert ignorati (osservati nel 13% di tutti i casi di ingegneria sociale), permessi eccessivi (10%) e assenza di MFA (10%) sono debolezze comuni. Anche il carico di lavoro dei responsabili gioca la sua parte: team di sicurezza sovraccarichi spesso non rilevano gli alert, o non danno loro la giusta priorità.

L’AI amplifica l’impatto dell’ingegneria sociale
L’AI ha il potere di aggiornare e ridisegnare queste minacce. Mentre i metodi tradizionali persistono, gli attaccanti stanno ora utilizzando strumenti di AI a supporto dell’ingegneria sociale convenzionale, aumentando scala, ritmo e adattabilità degli attacchi:

– Strumenti di automazione che accelerano i passaggi di intrusione.
– Generative AI che crea contenuti più sofisticati e simili a quelli umani per esche personalizzate, clonazione vocale e interazioni adattive.
– Agentic AI che esegue autonomamente compiti a più passaggi, inclusa la ricognizione cross-platform e la creazione di identità sintetiche per campagne mirate.

Attacchi sempre più mirati su singoli individui

Nel report, Unit 42 delinea due dei modelli di social engineering più osservati:

Compromissione high-touch: prende di mira individui specifici in tempo reale. Gli attori delle minacce impersonano le risorse, sfruttano gli help desk ed elevano l’accesso senza distribuire malware. Questo spesso comporta esche vocali, pretesti dal vivo e dati di identità rubati, come visto in Muddled Libra e in varie attività eseguite da attori sponsorizzati da stati. Si tratta di attacchi altamente mirati e personalizzati, che sfruttano impersonificazione dell’help desk, spoofing vocale e ricognizione tecnica per ottenere accesso profondo, controllo più esteso del sistema e un potenziale di monetizzazione più elevato.

Inganno su larga scala: include campagne in stile ClickFix, avvelenamento SEO, falsi prompt del browser ed esche miste che attivano la compromissione avviata dall’utente su più dispositivi e piattaforme. Le campagne ClickFix su larga scala ingannano gli utenti inducendoli a eseguire malware tramite prompt di sistema fraudolenti e test Captcha. In particolare, questi attacchi sono stati osservati nei settori sanitario, retail e governativo, spesso con conseguente compromissione diffusa delle credenziali e downtime operativi.

Tre consigli per andare oltre la semplice consapevolezza degli utenti

Il social engineering persiste a causa degli eccessivi permessi abbinati agli accessi, a lacune nella visibilità comportamentale e alla fiducia non verificata degli utenti nei processi umani. Gli attori delle minacce sfruttano sistemi di identità, protocolli degli help desk e approvazioni rapide imitando attività di routine. Per contrastare ciò, i responsabili della sicurezza devono andare oltre la semplice consapevolezza degli utenti, riconoscendo l’ingegneria sociale come una minaccia sistemica. Ciò richiede:
– Implementazione di analisi comportamentale e rilevamento e risposta alle minacce di identità (ITDR) per individuare proattivamente l’utilizzo improprio delle credenziali.
– Protezione dei processi di ripristino delle identità e applicazione dell’accesso condizionale.
– Applicazione dei principi Zero Trust anche ai singoli utenti, non solo ai perimetri di rete.