L’ingegneria sociale si conferma il principale vettore di attacco cyber registrato sul panorama delle minacce. È il dato che emerge dagli studi di Unit 42 di Palo Alto Networks, secondo cui un terzo di tutti i casi di risposta agli incidenti analizzati, registrati tra maggio 2024 e maggio 2025, sono iniziati proprio con una tattica di social engineering.
A questo fenomeno, Unit 42 ha dedicato “Global Incident Response Report 2025: Social Engineering Edition”, che analizza il modo in cui gli attaccanti stiano sfruttando la fiducia per violare le aziende, portando a interruzioni delle attività operative e perdite finanziarie. Gli insight derivano dalla telemetria di Palo Alto Networks, da oltre 700 casi di studio di risposta agli incidenti e dalla costante ricerca sulle minacce di Unit 42.
L’ingegneria sociale è il vettore di accesso iniziale più comune osservato, con il phishing che rappresenta il 65% dei casi. Questi attacchi spesso prendono di mira account privilegiati (66%), utilizzano l’impersonificazione di personale interno (45%) e prevedono tecniche di callback o basate sulla voce (23%), che stanno diventando più sofisticate man mano che gli attaccanti sfruttano l’AI.
Le tecniche di attacco vincenti
Il successo dell’ingegneria sociale deriva dalla scelta dei cybercriminali di puntare sul il comportamento umano e su controlli deboli, invece che su vulnerabilità tecniche. Sono diversi i principali schemi chiave che determinano il successo di questi attacchi:
- Interruzione delle attività:gli attacchi di ingegneria sociale hanno portato all’esposizione di dati nel 60% dei casi, 16 punti percentuali in più rispetto ad altri vettori di accesso iniziale. Le compromissioni di email aziendali (BEC) hanno rappresentato circa la metà di tutti i casi di social engineering, con quasi il 60% che ha causato l’esposizione di dati.
- Nuovi vettori:sebbene il phishing sia il metodo più usato, il 35% dei casi di ingegneria sociale utilizza altri strumenti quali avvelenamento SEO (SEO poisoning), malvertising, smishing e MFA bombing. Gli attaccanti stanno ampliando il loro raggio d’azione oltre l’email verso altre piattaforme e dispositivi.
- Lacune nei controlli:alert ignorati (osservati nel 13% di tutti i casi di ingegneria sociale), permessi eccessivi (10%) e assenza di MFA (10%) sono debolezze comuni. Anche il carico di lavoro dei responsabili gioca la sua parte: team di sicurezza sovraccarichi spesso non rilevano gli alert, o non danno loro la giusta priorità.
L’intelligenza artificiale amplifica l’impatto dell’ingegneria sociale
L’AI ha il potere di aggiornare e ridisegnare queste minacce. Mentre i metodi tradizionali persistono, gli attaccanti stanno ora utilizzando strumenti di AI per sfruttare velocità, realismo e scalabilità. Unit 42 ha osservato tre livelli di tool abilitati da AI negli incidenti:
- Strumenti di automazione che accelerano i passaggi di intrusione.
- Generative AI che crea contenuti più sofisticati e simili a quelli umani per esche personalizzate, clonazione vocale e interazioni adattive.
- Agentic AI che esegue autonomamente compiti a più passaggi, inclusa la ricognizione cross-platform e la creazione di identità sintetiche per campagne mirate.
Questo indica un cambiamento in cui i componenti dell’AI supportano l’ingegneria sociale convenzionale, aumentando scala, ritmo e adattabilità degli attacchi.
L’ingegneria sociale può essere altamente mirata e scalabile
Nel report, Unit 42 delinea due dei modelli di ingegneria sociale più osservati, entrambi progettati per aggirare i controlli imitando attività legittime:
- Compromissione high-touch: prende di mira individui specifici in tempo reale. Gli attori delle minacce impersonano le risorse, sfruttano gli help desk ed elevano l’accesso senza distribuire malware. Questo spesso comporta esche vocali, pretesti dal vivo e dati di identità rubati, come visto in Muddled Libra e in varie attività eseguite da attori sponsorizzati da stati. Si tratta di attacchi di ingegneria sociale altamente mirati e personalizzati, che sfruttano impersonificazione dell’help desk, spoofing vocale e ricognizione tecnica per ottenere accesso profondo, controllo più esteso del sistema e un potenziale di monetizzazione più elevato.
- Inganno su larga scala: include campagne in stile ClickFix, avvelenamento SEO, falsi prompt del browser ed esche miste che attivano la compromissione avviata dall’utente su più dispositivi e piattaforme. Le campagne ClickFix su larga scala ingannano gli utenti inducendoli a eseguire malware tramite prompt di sistema fraudolenti e test CAPTCHA. In particolare, questi attacchi sono stati osservati nei settori sanitario, retail e governativo, spesso con conseguente compromissione diffusa delle credenziali e downtime operativi.
Perché le aziende diventano un obiettivo più facile per l’ingegneria sociale
L’ingegneria sociale persiste a causa degli eccessivi permessi abbinati agli accessi, a lacune nella visibilità comportamentale e alla fiducia non verificata degli utenti nei processi umani. Gli attori delle minacce sfruttano sistemi di identità, protocolli degli help desk e approvazioni rapide imitando attività di routine. Per contrastare ciò, i responsabili della sicurezza devono andare oltre la semplice consapevolezza degli utenti, riconoscendo l’ingegneria sociale come una minaccia sistemica. Ciò richiede:
- Implementazione di analisi comportamentale e rilevamento e risposta alle minacce di identità (ITDR) per individuare proattivamente l’utilizzo improprio delle credenziali.
- Protezione dei processi di ripristino delle identità e applicazione dell’accesso condizionale.
- Applicazione dei principi Zero Trust anche ai singoli utenti, non solo ai perimetri di rete.
