Social Engineering: Voce, Immagine, Contesto

Cosa è Cambiato

Un tempo bastava un link phishing banale. Oggi gli attacchi arrivano con un look professionale – con nomi scritti correttamente, firme reali e tempistiche precise. L’IA genera voci, volti e inviti a riunioni; i deepfake imitano dirigenti, fornitori o autorità. Parallelamente, gli attacchi Adversary-in-the-Middle (AitM) aggirano i flussi MFA tradizionali catturando le sessioni in tempo reale. Non è fantascienza, è quotidianità. Il punto debole raramente è la tecnologia – sono approvazioni affrettate, mancanza di richiamate e una mentalità “ce la caviamo comunque”.

Tattiche Che Funzionano Oggi

• Imitazione della voce + pressione temporale: Una “chiamata del capo” poco prima della fine della giornata, accompagnata da “approvare urgentemente”. Il contenuto è banale, il contesto perfetto.
• Iniezione in calendario: Invito a riunione reale con link mascherato; la lista dei partecipanti appare legittima.
• AitM contro MFA: Login tramite portali falsi, token rubati, sessioni hijackate – nonostante la presenza di MFA.
• Falsificazione fornitori: Cambio del conto bancario “per fusione”. I documenti sembrano autentici, gli allegati ben formattati.
• Post-compromise phishing: Dopo l’accesso iniziale, gli attaccanti inviano email reali da caselle reali – ogni “verifica” risulta positiva.

Dove Falliscono le Aziende (Onestamente)

Due debolezze sono costanti: mancanza di ancore di processo e responsabilità poco chiare. Molte policy sono solo PDF decorativi, non comportamenti reali. Non ci sono verifiche obbligatorie fuori banda, nessun principio delle quattro occhi per i movimenti finanziari, e helpdesk o reparti non sono obbligati a segnalare subito “chiamate sospette”. Inoltre, i flussi legacy rimangono aperti (Basic/IMAP), rendendo la MFA inefficace nella pratica.

Come Fermare il Social Engineering – In Pratica

Concentrarsi prima sul comportamento, poi sulla tecnologia. L’ordine è intenzionale.

1. Processo prima della personalità. Nessun pagamento, cambio conto o aumento privilegi senza verifica documentata tramite un secondo canale conosciuto. Nessuna eccezione per persone “importanti” – proprio loro vengono imitate.
2. Rituali fuori banda obbligatori. Numeri di richiamo definiti (dal directory interna), parole chiave per approvazioni sensibili, richiamo solo tramite contatti centralizzati – non il numero nell’email.
3. Accesso sicuro contro phishing. MFA con passkey/FIDO2, disattivazione dei protocolli deboli, riconvalida sessione in caso di rischio. Contro AitM, tecnologia più verifica del contesto (es. binding dominio, binding dispositivo).
4. Rispetta il principio del least privilege. Meno diritti permanenti ci sono, minore l’impatto di approvazioni forzate. Diritti amministrativi temporanei (JIT) riducono situazioni di pressione.
5. Esercizi realistici. Niente slide. Simulare chiamate del capo, cambi fornitori, inviti di calendario – con pressione temporale e “per favore, velocemente”. Obiettivo: rendere riflessivo il segnale di stop (“richiamare!”).

Processi per Cambiamenti di Denaro & Identità (Standard Minimo)

• Principio delle quattro occhi per tutti i pagamenti oltre soglia X e per ogni modifica di dati bancari.
• Verifica a due canali: Richiamo tramite numero interno + conferma scritta con template memorizzato.
• Periodo di blocco: Nuovi dati bancari attivi solo dopo catena di verifica documentata.
• Whitelist fornitori: Cambiamenti solo se la persona e il canale corrispondono a un record memorizzato.
• Audit trail: Ogni approvazione genera ticket con timestamp, passaggi di verifica e partecipanti. Nessun ticket – nessuna modifica.

Tecnologia Che Aiuta Davvero (Senza Nomi di Vendor)

• Autenticazione email & rilevamento anomalie (SPF/DKIM/DMARC + controlli euristici) riducono il rumore – ma non sostituiscono mai il processo.
• Policy su link/allegati con controlli pre-esecuzione, sandboxing per file sconosciuti e blocco dei flussi di abuso noti.
• Isolamento browser per obiettivi ad alto rischio (Finance, HR) con link esterni da email o calendario.
• Sicurezza sessione: Binding token a dispositivo/browser, validità breve, logout automatico in caso di cambio contesto.
• Telemetria identità: Viaggi impossibili, deviazioni di ruolo, approvazioni insolite → immediata richiesta di conferma / step-up auth.

Metriche Che Contano (E Creano Pressione)

• Tasso di verifica per cambiamenti di denaro/identità: percentuale di casi con verifica a due canali riuscita.
• Time-to-verify: Tempo dalla richiesta alla verifica completata – obiettivo rapido e rigoroso.
• Tasso di segnalazione: Percentuale di dipendenti che segnalano contatti/chiamate sospette.
• Tasso di blocco AitM: Tentativi bloccati/interrotti grazie a binding dominio/dispositivo.
• Eventi push-fatigue: Tentativi MFA spam respinti e numero di flussi “click-to-approve” disattivati.
• Successo esercizi: Percentuale di scenari reali superati (chiamata capo, cambio fornitore) – senza preavviso.

Obiezioni Tipiche – Risposte Sobrie

• “Rallenta il nostro business.” – Giusto. Rallenta solo ciò che muove denaro o cambia identità. Tutto il resto continua.
• “Il nostro personale se ne accorgerebbe.” – Fino a stress, ferie o cambi turno. I processi proteggono le persone – non il contrario.
• “Abbiamo MFA.” – Se AitM cattura sessioni o flussi legacy sono aperti, è solo apparenza. Rinforzare o disattivare.

Conclusione

Il social engineering è preciso, cortese e credibile. Affidarsi al solo intuito fa perdere. Applicando processi, rinforzando MFA contro AitM e esercitandosi realisticamente, si riduce drasticamente il tasso di successo – misurabile in metriche di verifica ed esercizio. Non è opzionale; è mitigazione del danno in euro e ore. In breve: allenare la contro-voce, obbligare il richiamo, mantenere i diritti minimi. Così “per favore, approva velocemente” diventa “aspetta, stiamo verificando” – e questo salva denaro, dati e nervi.

FAQ sul post del blog