Phishing e Social Engineering: come riconoscerli e difendersi

Cos'è il Social Engineering

Il social engineering è la manipolazione psicologica delle persone per ottenere informazioni riservate o accessi non autorizzati. Sfrutta la fiducia, l'autorità e l'urgenza invece di vulnerabilità tecniche. Secondo Verizon DBIR, oltre il 74% delle violazioni coinvolge un fattore umano.

Tipi di phishing

Email phishing

Email massiva che imita brand noti (banca, Amazon, PayPal, Microsoft). Obiettivo: rubare credenziali o installare malware.

Segnali di allerta:

• Dominio mittente simile ma diverso: amazon-support.com invece di amazon.com
• Urgenza artificiale: "Il tuo account verrà bloccato in 24 ore"
• Link con URL diversa dal testo (controlla al hover)
• Richiesta di credenziali via email (le aziende legittime non lo fanno mai)

Spear phishing

Email mirata a una persona specifica, con informazioni personali raccolte da LinkedIn/social. Molto più convincente del phishing di massa.

Vishing (Voice phishing)

Chiamate telefoniche. Esempio classico: "Sono del supporto tecnico Microsoft, il suo PC ha un virus".

Smishing

Phishing via SMS: finto tracking pacco, finta multa, finta banca.

Come difendersi

• Verifica l'URL prima di inserire credenziali — usa la barra indirizzi del browser, non il link
• MFA/2FA su tutti gli account importanti — anche se rubano la password, non basta
• Password manager — non inseriranno mai credenziali su siti fake (non riconoscono il dominio)
• Formazione — riconosci i segnali, non agire sotto urgenza
• Segnala i sospetti al team IT o a [email protected]

Tool di simulazione (per aziende)

GoPhish è un framework open source per simulare campagne di phishing e misurare la consapevolezza dei dipendenti. Usare solo su personale della propria organizzazione con autorizzazione.