La vulnerabilità più grande delle aziende è senza dubbio l’essere umano, lo sanno anche i cybercriminali che diventano degli abili truffatori in grado di aggirare anche gli strumenti più avanzati di cybersecurity.
Proofpoint, azienda specializzata nella cybersecurity e nella compliance, ha pubblicato il report “The Human Factor 2025, Vol. 1: Social Engineering”, un’analisi focalizzata sulle minacce di ingegneria sociale che mette in luce una tendenza preoccupante: i cybercriminali puntano in modo crescente sulla manipolazione psicologica, che si rivela spesso molto più efficace delle tradizionali tecniche di hacking.
L’evoluzione del social engineering
Lo studio di Proofpoint evidenzia come il social engineering stia diventando una componente sempre più frequente negli attacchi, con un quarto di quelli APT (Advanced Persistent Threat) che ne fanno uso. In particolare, si osserva un aumento significativo delle campagne che sfruttano l’interesse delle persone per la collaborazione e il coinvolgimento, con oltre il 90% degli attacchi APT in questo ambito che lo utilizzano come esca.
Un ulteriore dato allarmante emerso riguarda l’incremento delle truffe a pagamento anticipato, cresciute di quasi il 50% nell’ultimo anno, mentre gli attacchi TOAD (Telephone-Oriented Attack Delivery), che mirano a indurre le vittime a chiamare numeri di telefono fraudolenti, continuano a rappresentare una minaccia costante, con ben 117 milioni di tentativi bloccati da Proofpoint ogni anno.
Ma la vera novità è l’ascesa delle “conversazioni positive”: gli attaccanti iniziano con scambi di messaggi apparentemente innocui per costruire un rapporto di fiducia con le vittime, per poi sferrare l’attacco vero e proprio. Questa tecnica, utilizzata nel 25% delle campagne APT, dimostra la crescente sofisticazione dei criminali informatici.
Infine, il report punta i riflettori sulle truffe si social engineering cosiddette “pig butchering”, che combinano relazioni sentimentali online con false opportunità di investimento in criptovalute. Questo tipo di frode è in forte espansione, con un aumento del 40% dei ricavi nel 2024, a testimonianza della capacità dei cybercriminali di adattarsi ai nuovi trend e di sfruttare le debolezze umane.
I ricercatori di Proofpoint spiegano: “Il social engineering è diventato un’arte. Gli attaccanti non si limitano più a cercare vulnerabilità tecnologiche, ma studiano a fondo le nostre emozioni e comportamenti per manipolarci. La difesa più efficace è la consapevolezza: dobbiamo imparare a riconoscere i segnali di pericolo e a proteggere noi stessi e le nostre aziende”.
Quali sono le implicazioni per il business?
Secondo Proofpoint, per difendersi dal social engineering è fondamentale adottare un approccio di sicurezza “human-centric”, che metta al centro le persone e la loro potenziali vulnerabilità alle tecniche di social engineering. Le aziende devono quindi investire in una strategia di difesa a 360 gradi, che comprenda:
- Profonda conoscenza di chi viene attaccato, come e con quali risultati.
- Implementazione di sistemi di rilevamento basati su intelligenza artificiale, in grado di identificare modelli linguistici e comportamentali sospetti.
- Protezione dall’impersonificazione, con controlli per prevenire la falsificazione del dominio e proteggere gli account dei fornitori.
- Programmi di formazione sulla sicurezza personalizzati, basati sulle minacce più recenti.
- Automazione dei flussi di lavoro, per velocizzare rilevamento, risposta e correzione delle minacce.
“Quando si pensa a un attacco cyber, spesso si commette l’errore di collegarlo subito a una vulnerabilità, a una tecnologia che non ha operato correttamente o a una connessione pericolosa. In realtà, molti dipendono proprio da un errore umano, come evidenziato dal 72% dei CISO italiani in un nostro recente report”, affermano ancora i ricercatori di Proofpoint. “Per questo è fondamentale creare una solida consapevolezza e cultura sulla cybersecurity, affinché i dipendenti siano preparati e pronti ad assumere il ruolo di principali difensori della propria azienda”.
