L’ingegneria sociale AI-driven segna il passaggio definitivo dal phishing artigianale alla manipolazione cognitiva industrializzata. Per anni la difesa si è basata su indicatori relativamente semplici: errori grammaticali, mittenti sospetti, domini contraffatti, layout approssimativi, urgenze costruite male e formule linguistiche ripetitive. Quel modello è saltato. L’intelligenza artificiale generativa consente oggi di produrre messaggi corretti, contestualizzati, credibili, personalizzati e scalabili, riducendo drasticamente il vantaggio difensivo fondato sul riconoscimento degli errori umani dell’attaccante. Il punto non è soltanto che le email di phishing siano diventate “scritte meglio”. La trasformazione è più profonda. Gli attaccanti usano modelli linguistici, automazione, scraping OSINT, profili LinkedIn, informazioni aziendali pubbliche, template dinamici, piattaforme Phishing-as-a-Service, infrastrutture cloud temporanee, QR code, device code flow, proxy adversary-in-the-middle e campagne multicanale per costruire un ambiente di inganno continuo. La vittima non riceve più un singolo messaggio sospetto: viene inserita in una sequenza che può partire da una email, proseguire con un SMS, essere rafforzata da una telefonata, chiudersi con un QR code o con una richiesta di autenticazione su un portale legittimo. Il Report CERT-AGID 2025 descrive questa evoluzione in modo netto: l’intelligenza artificiale viene usata in modo pragmatico per creare campagne di phishing e smishing con messaggi linguisticamente corretti, contestualizzati e adattati al pubblico di riferimento, riducendo l’efficacia delle euristiche tradizionali basate sugli errori formali. Lo stesso report indica 3.620 campagne malevole censite, 51.530 indicatori di compromissione condivisi, 1.922 campagne di phishing e 1.698 campagne malware, con un peso rilevante di infostealer, RAT e catene di infezione a più stadi. Anche ENISA conferma la centralità del problema: il phishing resta il principale vettore di intrusione iniziale, con circa il 60% dei casi osservati, mentre le campagne AI-supported rappresentano ormai una quota dominante dell’ingegneria sociale osservata a livello globale. ENISA inserisce nello stesso perimetro phishing, quishing, spear phishing, smishing, vishing, whaling, BEC e deepfake, mostrando che la minaccia non è più un solo canale, ma una superficie cognitiva multivettore.
Matrice Digitale ha seguito questa trasformazione lungo tre linee: il phishing come attacco all’identità, il mobile come vettore di aggiramento dei controlli aziendali, e l’intelligenza artificiale come acceleratore della scalabilità. Gli approfondimenti su EvilTokens e DeepLoad tra phishing device code e AI, su Microsoft Entra ID, Google Workspace e abuso del reindirizzamento OAuth, su phishing “Codice di condotta” con furto di token Microsoft e su W3LL, il kit phishing AiTM smantellato da FBI e polizia indonesiana mostrano una traiettoria unica: la password non è più il vero bersaglio, il bersaglio è la sessione autenticata.
Cosa leggere
AI e manipolazione cognitiva: perché il phishing non si riconosce più dagli errori
L’intelligenza artificiale generativa ha rimosso uno dei principali segnali deboli usati per identificare un messaggio fraudolento: la bassa qualità linguistica. Un attaccante può oggi generare email in italiano fluido, con tono istituzionale, riferimenti coerenti al settore della vittima, struttura compatibile con comunicazioni aziendali e contenuti personalizzati. Il risultato è un phishing che non sembra più phishing. Questo passaggio colpisce soprattutto il spear phishing, cioè l’attacco mirato. Prima personalizzare migliaia di messaggi richiedeva tempo, competenza linguistica e conoscenza del bersaglio. Oggi un modello generativo può analizzare profili pubblici, comunicati aziendali, organigrammi, post social, pagine “chi siamo”, documenti PDF e tracce OSINT per costruire email diverse per ruolo, reparto, responsabilità e contesto. Un CFO riceve una richiesta coerente con procedure di pagamento. Un HR riceve un curriculum. Un amministratore IT riceve un avviso tecnico. Un dirigente riceve un finto documento riservato. La manipolazione non si limita al testo. L’AI consente variazione rapida dei template, localizzazione linguistica, adattamento agli eventi di attualità, simulazione dello stile di comunicazione interna e produzione di allegati credibili. Questo riduce l’efficacia dei filtri basati su pattern statici. Se ogni email è diversa, se il testo cambia, se il tono è naturale e se il contenuto è contestualizzato, la rilevazione deve spostarsi dal contenuto alla catena comportamentale: mittente, infrastruttura, link, autenticazione, token, anomalie di sessione, destinazione e azioni successive. La campagna Microsoft ricostruita da Matrice Digitale sul phishing basato su violazioni del codice di condotta mostra bene questa dinamica. La leva non era tecnica, ma psicologica: una presunta contestazione interna, un tema disciplinare, un PDF personalizzato, una pressione reputazionale immediata. L’utente non veniva convinto da una promessa, ma da una minaccia implicita alla propria posizione lavorativa. È un esempio perfetto di phishing moderno: il contenuto non informa, condiziona.
Questa trasformazione rende obsolete molte campagne di formazione basate solo sul riconoscimento del refuso o del dominio strano. L’utente deve imparare a riconoscere il processo, non solo il messaggio. Una comunicazione può essere scritta bene e restare malevola. Può provenire da un dominio legittimo abusato. Può includere un link a una pagina ufficiale che viene sfruttata come passaggio intermedio. Può chiedere un’azione apparentemente innocua, come inserire un codice dispositivo o scansionare un QR code.
Phishing AiTM: quando la MFA tradizionale non basta più
Il phishing moderno non si accontenta più di rubare username e password. Le organizzazioni hanno adottato MFA, conditional access, password policy più rigide e controlli sugli accessi. Gli attaccanti hanno risposto spostando il bersaglio: non cercano soltanto la credenziale, ma il token di sessione, il cookie autenticato, il refresh token, il consenso OAuth o il flusso di autenticazione già validato. La tecnica Adversary-in-the-Middle, o AiTM, funziona come un proxy tra la vittima e il servizio legittimo. L’utente crede di accedere al portale Microsoft, Google o aziendale, ma il traffico passa attraverso una infrastruttura controllata dall’attaccante. In questo modo il kit può intercettare credenziali, codici MFA e soprattutto cookie di sessione. Una volta ottenuto il cookie, l’attaccante può accedere come se fosse l’utente, aggirando la MFA già completata. Il caso W3LL è emblematico perché mostra la maturità industriale del phishing AiTM. Non si trattava di un semplice kit usa e getta, ma di una piattaforma con marketplace, strumenti di distribuzione, supporto, vendita di account compromessi e tecniche per colpire ambienti Microsoft 365. La sua chiusura dimostra che il phishing MFA-bypass è diventato un mercato criminale autonomo, abbastanza rilevante da mobilitare FBI e cooperazione internazionale. Anche la campagna raccontata da Matrice Digitale su phishing “Codice di condotta” e furto dei token Microsoft mostra perché la MFA tradizionale non sia più una garanzia sufficiente. Se il secondo fattore viene completato dalla vittima su una pagina proxata, l’attaccante non deve conoscere il codice in anticipo: gli basta catturare la sessione validata. Il problema non è l’assenza di MFA, ma l’uso di una MFA non resistente al phishing. Il device code phishing aggiunge un ulteriore salto. In questo caso l’utente viene indotto a inserire un codice su un portale legittimo, spesso Microsoft, autorizzando inconsapevolmente la sessione dell’attaccante. Matrice Digitale ha seguito il tema nell’articolo su Outlook, Gmail e phishing device code contro oltre 340 organizzazioni, mentre Microsoft ha descritto campagne AI-enabled in cui l’automazione generava codici dinamici al momento dell’interazione, superando il limite temporale dei codici e consentendo accesso con token validi.
La difesa richiede phishing-resistant MFA, FIDO2, passkey, hardware security key, device compliance, token binding, revoca rapida delle sessioni, conditional access basato su rischio, monitoraggio di inbox rule sospette, controllo degli OAuth consent e rilevazione di accessi anomali. La MFA resta necessaria, ma deve essere progettata per resistere al furto della sessione, non solo al furto della password.
Smishing: il telefono diventa infrastruttura di phishing
Lo smishing sfrutta SMS e messaggistica mobile per portare la vittima su pagine di credential harvesting, furto carte, installazione di app malevole o conferma di operazioni fraudolente. La sua efficacia deriva da tre fattori: immediatezza, fiducia nel canale telefonico e minore protezione dei dispositivi mobili rispetto agli endpoint aziendali. L’utente legge l’SMS in fretta, spesso fuori dall’ambiente controllato, e clicca su link che imitano banche, corrieri, enti pubblici, servizi fiscali o piattaforme di pagamento. Il caso smishing INPS con falso bonus carburante mostra l’efficacia della leva economica: un presunto sussidio da 300 euro, un tema pubblico, un’urgenza legata al costo del carburante e un link che porta al furto di dati personali e carte di credito. Qui l’attaccante non deve superare un firewall aziendale. Deve convincere una persona che un messaggio arrivato sul telefono sia abbastanza plausibile da meritare un clic. Ancora più interessante è il caso dello smishing via API dei router Milesight. In quel caso, l’infrastruttura di invio non era una semplice SIM criminale, ma una rete distribuita di router cellulari vulnerabili usati per spedire SMS fraudolenti. La campagna ha mostrato come una vulnerabilità su dispositivi IoT e router industriali possa trasformarsi in piattaforma di phishing mobile su scala europea.
Lo smishing moderno non è quindi un messaggio isolato. È un modello di distribuzione. Può usare SIM farm, gateway SMS, router compromessi, API abusate, servizi legittimi, numeri spoofati e domini temporanei. Può essere integrato con phishing web, malware Android, truffe bancarie, finti servizi pubblici e campagne coordinate via Telegram. La vittima riceve il primo stimolo sul telefono, ma il danno può arrivare su conto bancario, identità digitale, account email o dispositivo aziendale. La difesa non può essere solo “non cliccare”. Servono filtri SMS, controllo dei domini, MDM, protezione browser mobile, separazione tra dispositivi personali e aziendali, blocco dell’installazione da fonti sconosciute, educazione specifica su enti pubblici e banche, e procedure per verificare comunicazioni economiche sensibili fuori dal canale ricevuto. Nel mobile, la velocità dell’inganno è parte dell’attacco.
Vishing: la voce come vettore di compromissione
Il vishing sfrutta la voce per ottenere informazioni, convincere la vittima a eseguire azioni, bypassare procedure, indurre reset MFA, autorizzare accessi o trasferire denaro. È uno dei vettori più pericolosi perché colpisce il punto più difficile da automatizzare difensivamente: la conversazione in tempo reale. Una email può essere analizzata. Un allegato può essere sandboxato. Una telefonata manipolativa, invece, entra direttamente nel processo decisionale umano. Il vishing non riguarda solo privati. È diventato uno strumento contro help desk, team IT, reparti finance, operatori retail, hospitality, telecomunicazioni e grandi aziende con processi di supporto distribuiti. Un attaccante può impersonare un dipendente, un fornitore, un dirigente o un tecnico. Può usare informazioni OSINT per superare domande di verifica deboli. Può fare pressione con urgenza, autorità, paura o familiarità. Matrice Digitale ha affrontato il tema nel caso BlackFile, vishing e ransomware, dove il vishing viene collegato a bypass MFA, estorsioni e attacchi contro settori retail e hospitality. Il quadro richiama anche le tattiche di gruppi come Scattered Spider, che hanno dimostrato quanto il supporto umano possa diventare il vero perimetro debole quando l’attaccante conosce processi, gerarchie e linguaggio interno. L’intelligenza artificiale aumenta ulteriormente il rischio. Voice cloning, deepfake audio, sintesi vocale, traduzione in tempo reale e generazione di script rendono il vishing più scalabile e più credibile. Un attaccante può simulare accenti, tono, esitazioni, formule aziendali e riferimenti contestuali. Non serve clonare perfettamente una voce per ottenere successo: spesso basta creare abbastanza familiarità da ridurre la diffidenza.
La difesa richiede procedure, non fiducia personale. Le richieste di reset MFA, cambio telefono, modifica IBAN, accesso privilegiato, autorizzazione di pagamento e recupero account devono seguire canali out-of-band. Un help desk non deve poter consegnare accesso critico sulla base di una telefonata convincente. I team finance devono verificare richieste di pagamento attraverso canali separati. Le aziende devono formare il personale non solo a riconoscere email sospette, ma a resistere alla pressione conversazionale.
Qishing e quishing: il QR code come cavallo di Troia mobile
Il qishing, o quishing, sfrutta QR code malevoli per portare la vittima verso pagine di phishing, furto credenziali, autorizzazione di dispositivi, download malware o bypass dei controlli email. Il QR code ha una caratteristica perfetta per l’attaccante: sposta l’interazione dal computer aziendale al telefono personale o al dispositivo mobile, spesso meno monitorato, meno filtrato e fuori dal perimetro EDR. Il QR code gode anche di fiducia implicita. È ovunque: ristoranti, parcheggi, bollette, autenticazione, eventi, badge, logistica, pagamenti, app bancarie, onboarding e strumenti di messaggistica. La vittima non vede subito l’URL finale. Scansiona un’immagine. Il gesto sembra neutro. È proprio questa neutralità percepita a renderlo pericoloso. Matrice Digitale ha documentato il qishing nel caso UAT-7290 e Kimsuky con QR code malevoli, dove Kimsuky usa QR code per colpire enti governativi, think tank e accademie, bypassando controlli email tradizionali e spostando la vittima su dispositivi mobili. Il caso è strategico perché mostra l’uso del quishing non solo nel cybercrime, ma anche in operazioni di spionaggio collegate ad attori statali. Un altro fronte è quello delle app di messaggistica. Nell’articolo su phishing russo contro Signal e WhatsApp, Matrice Digitale ha mostrato come QR code e funzioni di collegamento dispositivi possano essere abusati per prendere controllo di account di messaggistica, colpendo funzionari pubblici, militari, diplomatici e giornalisti. In questo scenario non viene violata necessariamente la crittografia dell’app: viene manipolato il comportamento dell’utente. Il qishing è asimmetrico perché costa poco e bypassa molto. Un QR code può essere inserito in una email, in un PDF, in un volantino, in una finta fattura, in un cartello fisico, in un messaggio Teams o in una pagina web. I sistemi di sicurezza email possono analizzare il testo, ma non sempre decodificano, visitano e valutano il link incorporato nell’immagine. Se poi la scansione avviene da telefono personale, l’organizzazione perde visibilità.
La difesa deve includere scanner QR sicuri, MDM, browser mobile protetto, training specifico, blocco dei QR code in comunicazioni sensibili, analisi degli allegati PDF, policy contro l’autorizzazione di nuovi dispositivi via link o QR, e monitoraggio degli accessi da device sconosciuti. Nel qishing, la domanda corretta non è “il QR code sembra legittimo?”, ma “perché mi viene chiesto di spostare l’autenticazione su un altro dispositivo?”.
Phishing-as-a-Service: la piattaforma criminale dietro l’attacco
Il Phishing-as-a-Service, o PhaaS, ha industrializzato l’ingegneria sociale come il RaaS ha industrializzato il ransomware. Gli attaccanti non devono più sviluppare da soli pagine di login, sistemi di proxy, raccolta credenziali, pannelli, kit AiTM, CAPTCHA, hosting, template e campagne. Possono acquistare o noleggiare piattaforme pronte, spesso con supporto, aggiornamenti, dashboard, personalizzazione del brand e sistemi anti-analisi. Questo modello abbassa drasticamente la soglia tecnica. Un criminale con competenze limitate può lanciare campagne contro Microsoft 365, Google Workspace, banche, wallet crypto, servizi pubblici o piattaforme aziendali. Le piattaforme PhaaS offrono cloning di pagine, gestione dei token, cattura dei cookie, distribuzione tramite email, QR code, SMS o link, e talvolta automazione AI per generare contenuti personalizzati. Matrice Digitale ha seguito il tema con VENOM PhaaS contro Microsoft 365 e CEO/CFO, con PhaaS cinesi, OTP in tempo reale e wallet e con W3LL come piattaforma AiTM completa. In tutti questi casi, il phishing non è più una pagina falsa isolata: è un servizio criminale con economia, supporto, scalabilità e adattamento continuo. Il PhaaS è particolarmente pericoloso quando si integra con l’AI. Il modello può generare testi, variare domini, creare landing page uniche, adattare lingua e tono, automatizzare follow-up, validare email, controllare geolocalizzazione, bloccare sandbox e distribuire payload diversi in base al profilo della vittima. Il risultato è un phishing che cambia continuamente, rendendo più difficile la difesa basata su firme.
La risposta deve essere strutturale. Phishing-resistant MFA, passkey, FIDO2, controllo degli OAuth consent, browser isolation per casi sensibili, Safe Links, DMARC/DKIM/SPF, anomaly detection sui token, revoca sessioni, monitoraggio delle regole inbox e formazione realistica devono diventare parte di un’unica strategia di identity security. Nel PhaaS il problema non è solo il messaggio: è la fabbrica che produce messaggi.
ClickFix e auto-compromissione: quando la vittima esegue il comando dell’attaccante
Una delle evoluzioni più insidiose dell’ingegneria sociale è ClickFix, una tecnica che induce l’utente a eseguire manualmente comandi sul proprio dispositivo con il pretesto di risolvere un problema, completare una verifica, superare un CAPTCHA o aprire un documento. Invece di sfruttare una vulnerabilità tecnica, l’attaccante sfrutta la disponibilità della vittima a seguire istruzioni operative apparentemente legittime. Il Report CERT-AGID 2025 indica una forte crescita delle campagne ClickFix in Italia, con circa 70 campagne censite e impiego per diffondere malware come AsycRat, Lumma Stealer e XWorm. La caratteristica più pericolosa è proprio l’esecuzione “manuale”: la vittima copia, incolla o avvia comandi che scaricano ed eseguono codice malevolo, rendendo più difficile l’intercettazione da parte dei controlli automatici tradizionali. Matrice Digitale ha seguito questa traiettoria negli articoli su ClickFix, WordPress compromessi e Termite ransomware e su EvilTokens e DeepLoad, dove il social engineering diventa il punto di avvio di catene fileless, loader, infostealer e payload più complessi. La tecnica funziona perché trasforma la vittima in esecutore inconsapevole della catena d’infezione. ClickFix è un caso perfetto di manipolazione cognitiva operativa. L’utente non crede di autorizzare un attacco. Crede di risolvere un blocco, confermare di essere umano, aprire un file, correggere un problema di visualizzazione o completare una procedura. L’attaccante non deve superare una barriera tecnica: deve scrivere istruzioni abbastanza credibili da convincere la vittima a superarla da sola.
La difesa richiede blocco dell’esecuzione da clipboard in contesti sensibili, restrizioni PowerShell, EDR comportamentale, browser hardening, blocco dei comandi LOLBin non necessari, formazione specifica su CAPTCHA falsi e policy che impediscano agli utenti di eseguire comandi copiati da pagine web. ClickFix dimostra che il futuro del phishing non è solo rubare credenziali: è far compiere alla vittima l’azione tecnica che l’attaccante non può eseguire direttamente.
Social engineering e guerra cibernetica: quando la manipolazione diventa intelligence
L’ingegneria sociale non appartiene solo al cybercrime. È una delle armi più efficaci anche nella guerra cibernetica. Gruppi APT usano phishing, spear phishing, qishing, messaggistica, finti recruiter, documenti diplomatici, inviti a conferenze, codici QR, account compromessi e social engineering avanzato per colpire governi, militari, think tank, giornalisti, accademici e infrastrutture critiche. Il caso phishing russo contro Signal e WhatsApp mostra una logica precisa: le piattaforme cifrate restano solide dal punto di vista tecnico, ma possono essere aggirate convincendo l’utente a condividere codici di verifica o collegare dispositivi controllati dall’attaccante. In questo scenario, la vulnerabilità non è nell’algoritmo di crittografia. È nella procedura di onboarding manipolata. Il caso UAT-7290 e Kimsuky mostra un’altra convergenza: da un lato malware Linux e nodi ORB contro telcos, dall’altro QR code malevoli usati da Kimsuky per bypassare controlli email e MFA. L’ingegneria sociale diventa quindi strumento complementare alla compromissione infrastrutturale. L’attacco non sceglie tra umano e tecnico: usa entrambi. Nel contesto APT, il valore dell’ingegneria sociale non è solo l’accesso iniziale. È la possibilità di ottenere account di fiducia, credenziali diplomatiche, comunicazioni riservate, rubriche, contatti, inviti, documenti, canali di chat e relazioni. Un account di un funzionario, un giornalista o un ricercatore può valere più di un server, perché consente campagne successive con credibilità ereditata.
La difesa contro l’ingegneria sociale statale deve includere formazione ad alto profilo, protezione degli account personali dei soggetti sensibili, verifica delle richieste su canali alternativi, uso di security key, controllo dei dispositivi collegati a Signal e WhatsApp, gestione dei rischi OSINT e procedure specifiche per conferenze, inviti, documenti diplomatici e contatti esterni. La manipolazione cognitiva è ormai parte dell’intelligence.
La strategia difensiva: identity security, Zero Trust e MFA resistente al phishing
La difesa dall’ingegneria sociale AI-driven deve partire da un principio: l’utente non può essere l’unico firewall. La formazione è necessaria, ma non basta. Se una campagna è ben scritta, personalizzata, multicanale, supportata da PhaaS e capace di rubare token, l’errore umano deve essere previsto e contenuto dall’architettura. Il primo livello è MFA resistente al phishing. Passkey, FIDO2, hardware security key e autenticazione legata al dominio riducono l’efficacia degli attacchi AiTM perché impediscono all’attaccante di riutilizzare credenziali o token fuori dal contesto legittimo. La MFA basata su OTP, SMS o push può ancora essere utile, ma non basta contro proxy, device code phishing, MFA fatigue e session hijacking. Il secondo livello è identity security. Le organizzazioni devono monitorare token, refresh token, inbox rule, OAuth app consent, accessi da IP anomali, login impossibili, nuovi dispositivi, cambi MFA, reset password e privilegi elevati. Il phishing moderno non finisce al login: continua nella persistenza, nella reconnaissance e nell’esfiltrazione. Il terzo livello è Zero Trust. Nessun accesso deve essere considerato sicuro solo perché autenticato. La sessione deve essere valutata in base a dispositivo, posizione, rischio, comportamento, applicazione, sensibilità del dato e continuità dell’attività. Una sessione valida può essere rubata. Un token valido può essere abusato. Un dispositivo registrato può essere compromesso. La fiducia deve essere condizionata e revocabile. Il quarto livello è difesa mobile. Smishing, qishing e messaggistica spostano l’attacco su telefoni spesso meno protetti. MDM, protezione browser mobile, scanning QR, blocco di app non autorizzate, separazione profilo aziendale/personale e monitoraggio dei dispositivi collegati diventano centrali. La superficie mobile non è più periferica: è uno dei canali principali della manipolazione.
Il quinto livello è governance del processo umano. Help desk, finance, HR, IT, executive assistant, procurement e customer support devono avere procedure non aggirabili da una telefonata convincente. Reset MFA, cambio IBAN, rilascio token, accesso a sistemi critici, autorizzazioni di pagamento e modifiche ai fornitori devono richiedere controlli out-of-band e approvazioni tracciabili. Nel social engineering moderno, il processo è il perimetro.
FAQ sull’ingegneria sociale AI-driven
Che cos’è l’ingegneria sociale AI-driven?
L’ingegneria sociale AI-driven è l’uso di intelligenza artificiale, automazione e dati OSINT per creare campagne di phishing, smishing, vishing o qishing più credibili, personalizzate e scalabili. Non sfrutta solo errori tecnici, ma manipola comportamento, fiducia, urgenza e procedure interne.
Perché il phishing generato con AI è più pericoloso?
Il phishing generato con AI è più pericoloso perché elimina molti segnali tradizionali di frode, come errori grammaticali, tono innaturale e template ripetitivi. Può adattarsi al ruolo della vittima, imitare comunicazioni aziendali e produrre messaggi diversi per migliaia di bersagli.
Che cosa significa AiTM nel phishing?
AiTM significa Adversary-in-the-Middle e indica un attacco in cui il criminale si interpone tra vittima e servizio legittimo. Il proxy inoltra la login reale, intercetta credenziali, MFA e cookie di sessione, permettendo accesso all’account anche dopo autenticazione completata.
La MFA protegge dal phishing AiTM?
La MFA tradizionale non protegge sempre dal phishing AiTM. Se la vittima completa l’autenticazione su una pagina proxata, l’attaccante può rubare il cookie di sessione. Servono MFA resistente al phishing, passkey, FIDO2, token binding e controlli sulle sessioni anomale.
Che cos’è il device code phishing?
Il device code phishing sfrutta un flusso OAuth legittimo pensato per dispositivi con interfaccia limitata. L’attaccante induce la vittima a inserire un codice su una pagina ufficiale, autorizzando inconsapevolmente la sessione criminale e consegnando token validi senza fornire direttamente la password.
Che differenza c’è tra smishing e vishing?
Lo smishing usa SMS o messaggistica mobile per indurre la vittima a cliccare link, inserire dati o installare app malevole. Il vishing usa invece telefonate e manipolazione vocale per ottenere informazioni, convincere help desk, autorizzare pagamenti o aggirare controlli di identità.
Che cos’è il qishing?
Il qishing, o quishing, è il phishing tramite QR code. Il codice porta la vittima verso pagine malevole, furto credenziali, autorizzazione di dispositivi o download malware. È efficace perché sposta l’attacco sul telefono, spesso meno monitorato rispetto all’endpoint aziendale.
Perché ClickFix è una tecnica di social engineering?
ClickFix è social engineering perché convince la vittima a eseguire manualmente comandi dannosi con il pretesto di risolvere un problema, superare un CAPTCHA o aprire un documento. L’attaccante non sfrutta una falla tecnica: fa eseguire alla vittima la catena di infezione.
Come si difende un’azienda dal social engineering AI-driven?
Un’azienda si difende con MFA resistente al phishing, Zero Trust, monitoraggio dei token, protezione mobile, formazione realistica, controlli sugli help desk, DLP, EDR, policy OAuth, verifica out-of-band delle richieste sensibili e procedure che impediscano di aggirare i controlli con pressione psicologica.
Perché l’ingegneria sociale riguarda anche la guerra cibernetica?
L’ingegneria sociale riguarda anche la guerra cibernetica perché gli APT usano phishing, QR code, finti recruiter, messaggistica e account compromessi per colpire diplomatici, militari, giornalisti, ricercatori e infrastrutture critiche. La manipolazione umana diventa accesso strategico, non solo frode economica.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
