DoTTrINA




                  Gli attacchi di ingegneria sociale si basano sulla fiducia, la curiosità, la paura
             o l’urgenza. I cybercriminali possono impersonare persone di fiducia, come col-
             leghi, fornitori o autorità, per convincere le vittime a compiere azioni che altri-
             menti non realizzerebbero. Alcuni degli attacchi più comuni includono:
                  ➣ phishing: invio di email fraudolente che sembrano provenire da fonti affi-
             dabili, in cui l’attaccante chiede di fornire informazioni personali o cliccare su un
             link che porta a un sito web falsificato;
                  ➣ spear phishing: una forma più mirata di phishing, dove l’attaccante perso-
             nalizza il messaggio per un singolo individuo o gruppo specifico, utilizzando
             informazioni raccolte per rendere l’attacco più credibile;
                  ➣ whale phishing o whaling: è un attacco di phishing che colpisce funziona-
             ri aziendali di alto livello con e-mail, messaggi di testo o telefonate fraudolenti. I
             messaggi sono scritti con cura per manipolare il destinatario, inducendolo a
             divulgare dati aziendali sensibili e informazioni personali o ad autorizzare ingenti
             pagamenti ai criminali informatici ;
                                             10
                  ➣ vishing (o voice phishing): attacchi che avvengono tramite telefonate (se
             mediante SMS smishing), in cui l’attaccante si finge un operatore di banca, un
             collega o un’altra figura di autorità per indurre la vittima a fornire informazioni
             sensibili. Questa tecnica è stata perfezionata con l’utilizzo di algoritmi di IA che
             riescono a riprodurre quasi perfettamente la voce di una determinata persona;
                  ➣ baiting: l’attaccante offre una “esca” (ad esempio un file o un’applicazio-
             ne apparentemente utile) per spingere la vittima a scaricare un malware o un
             virus;
                  ➣ clickjacking: tecnica in cui un attaccante nasconde elementi cliccabili su
             una pagina web, come un bottone o un link, sotto contenuti legittimi o innocui.
             L'utente pensa di cliccare su un elemento normale (come un pulsante “Play” su
             un video), ma in realtà sta cliccando su un’area invisibile che esegue un’azione
             dannosa, come autorizzare un’operazione o fare clic su un link che compie
             un'azione non desiderata. Il clickjacking sfrutta la fiducia dell’utente nel sito web
             che sta visitando, ma manipola la sua interazione senza che se ne accorga;
                  ➣ eavesdropping: si tratta dell’ascolto non autorizzato di comunicazioni,
             come telefonate, e-mail o traffico dati. Gli attacchi più avanzati, come i Man-in-
             the-Middle (MITM), permettono all’attaccante di inserirsi nel flusso di comuni-
             cazione tra due parti per intercettare o manipolare i dati scambiati;
                  ➣ honey trap: è una tecnica in cui un attaccante sfrutta l’attrazione psicolo-
             gica e l’inganno per ottenere informazioni sensibili o accesso a sistemi riservati.


             10  IBM, https://www.ibm.com/it-it/topics/whale-phishing, ultima consultazione 29 novembre 2024.

             92