Social Engineering, cresce la nuova “arma segreta” dei cybercriminali

Proofpoint ha pubblicato il report “The Human Factor 2025, Vol. 1: Social Engineering”, un’analisi sulle minacce di ingegneria sociale che evidenzia una tendenza preoccupante: i cybercriminali puntano sempre più sulla manipolazione psicologica, che si rivela spesso molto più efficace delle tradizionali tecniche di hacking.

Il report evidenzia come il social engineering stia diventando una componente sempre più frequente negli attacchi: un quarto di quelli APT (Advanced Persistent Threat) infatti ne fanno uso. In particolare crescono in modo significativo le campagne che sfruttano l’interesse delle persone per la collaborazione e il coinvolgimento: oltre il 90% degli attacchi APT in questo ambito lo utilizzano come esca.

TOAD, conversazioni positive e “pig butchering”

Un ulteriore dato allarmante riguarda l’incremento delle truffe a pagamento anticipato, cresciute di quasi il 50% nell’ultimo anno, mentre gli attacchi TOAD (Telephone-Oriented Attack Delivery), che mirano a indurre le vittime a chiamare numeri di telefono fraudolenti, restano una minaccia costante, con ben 117 milioni di tentativi bloccati da Proofpoint ogni anno.

Ma la vera novità è l’ascesa delle “conversazioni positive”: gli attaccanti iniziano con scambi di messaggi apparentemente innocui per costruire un rapporto di fiducia con le vittime, per poi sferrare l’attacco vero e proprio. Questa tecnica, utilizzata nel 25% delle campagne APT, dimostra la crescente sofisticazione dei criminali informatici.

Infine il report punta i riflettori sulle truffe “pig butchering”, che combinano relazioni sentimentali online con false opportunità di investimento in criptovalute. Questo tipo di frode è in forte espansione (+40% dei ricavi nel 2024), a testimonianza della capacità dei cybercriminali di adattarsi ai nuovi trend e di sfruttare le debolezze umane.

I ricercatori di Proofpoint spiegano: “Il social engineering è diventato un’arte. Gli attaccanti non si limitano più a cercare vulnerabilità tecnologiche, ma studiano a fondo le nostre emozioni e comportamenti per manipolarci. La difesa più efficace è la consapevolezza: dobbiamo imparare a riconoscere i segnali di pericolo e a proteggere noi stessi e le nostre aziende”.

Gli impatti sul business

Secondo Proofpoint, è fondamentale adottare un approccio di sicurezza “human-centric”, che metta al centro le potenziali vulnerabilità delle persone alle tecniche di social engineering. Le aziende devono quindi investire in una strategia di difesa a 360 gradi, che comprenda:

– Profonda conoscenza di chi viene attaccato, come e con quali risultati.
– Implementazione di sistemi di rilevamento basati su intelligenza artificiale, in grado di identificare modelli linguistici e comportamentali sospetti.
– Protezione dall’impersonificazione, con controlli per prevenire la falsificazione del dominio e proteggere gli account dei fornitori.
– Programmi di formazione sulla sicurezza personalizzati, basati sulle minacce più recenti.
– Automazione dei flussi di lavoro, per velocizzare rilevamento, risposta e correzione delle minacce.

“Quando si pensa a un attacco cyber, spesso si commette l’errore di collegarlo subito a una vulnerabilità, a una tecnologia che non ha operato correttamente o a una connessione pericolosa. In realtà, molti dipendono proprio da un errore umano, come evidenziato dal 72% dei CISO italiani in un nostro recente report,” affermano ancora i ricercatori di Proofpoint. “Per questo è fondamentale creare una solida consapevolezza e cultura sulla cybersecurity, affinché i dipendenti siano preparati e pronti ad assumere il ruolo di principali difensori della propria azienda”.