Divulgazione
Le opinioni espresse qui appartengono esclusivamente all’autore e non rappresentano le opinioni della redazione di crypto.news.
Vulnerabilità nel Settore delle Criptovalute
Negli ultimi dodici mesi, la maggior parte delle vulnerabilità nel settore delle criptovalute ha avuto una causa comune: le persone. Solo negli ultimi mesi, Ledger ha esortato gli utenti a sospendere l’attività on-chain dopo che i manutentori di npm sono stati ingannati e pacchetti malevoli si sono propagati; Workday ha rivelato una campagna di ingegneria sociale che ha compromesso i dati in un CRM di terze parti; e operatori legati alla Corea del Nord hanno continuato a utilizzare offerte di lavoro false contro i team crypto per diffondere malware.
Nonostante i miliardi spesi in cybersecurity, le aziende continuano a essere vulnerabili a semplici attacchi di ingegneria sociale. I team investono denaro in misure di sicurezza tecniche, audit e revisioni del codice, trascurando la sicurezza operativa, l’igiene dei dispositivi e i fattori umani di base. Con il crescente spostamento delle attività finanziarie on-chain, questo punto cieco diventa un rischio sistemico per l’infrastruttura digitale.
Investimenti nella Sicurezza Operativa
L’unico modo per rallentare l’aumento degli attacchi di ingegneria sociale è un investimento ampio e sostenuto nella sicurezza operativa, che riduca l’efficacia di queste tattiche. Il Rapporto sulle Indagini sulle Violazioni dei Dati di Verizon del 2025 collega l'”elemento umano” della cybersecurity (phishing, credenziali rubate e errori quotidiani) a circa il 60% delle violazioni dei dati.
L’ingegneria sociale funziona perché prende di mira le persone, non il codice, sfruttando fiducia, urgenza, familiarità e routine.
Questi tipi di vulnerabilità non possono essere eliminate attraverso un audit del codice e sono difficili da difendere con strumenti di cybersecurity automatizzati. La revisione del codice e altre pratiche comuni di cybersecurity non possono fermare un dipendente dall’approvare una richiesta fraudolenta che sembra provenire da un manager, o dal scaricare un falso aggiornamento di Zoom che sembra legittimo.
Rischi del Denaro Programmabile
Il denaro programmabile concentra il rischio. In web3, compromettere una frase seed o un token API può essere equivalente a violare una cassaforte bancaria. La natura irreversibile delle transazioni crypto amplifica gli errori: una volta che i fondi si muovono, spesso non c’è modo di annullare la transazione. Un singolo errore nella sicurezza del dispositivo o nella gestione delle chiavi può compromettere gli asset.
Il design decentralizzato di web3 significa che spesso non c’è un help desk a cui rivolgersi, lasciando gli utenti a cavarsela da soli. Gli hacker, compresi i mercenari sostenuti dallo stato, hanno notato l’efficacia degli attacchi di ingegneria sociale e si sono adattati di conseguenza.
Strategie di Difesa
Le operazioni attribuite al Lazarus Group della Corea del Nord si basano fortemente sull’ingegneria sociale: offerte di lavoro false, PDF avvelenati, pacchetti malevoli e phishing mirato che sfrutta le vulnerabilità umane. Queste vulnerabilità sono sorprendentemente efficaci e semplici da eseguire, e le aziende tecnologiche sembrano incapaci di difendersi contro di esse.
A differenza delle vulnerabilità zero-day, che vengono rapidamente corrette, gli hacker possono sfruttare le stesse tattiche di ingegneria sociale ripetutamente. Troppe organizzazioni trattano ancora la sicurezza come un esercizio di conformità — un atteggiamento rinforzato da standard normativi permissivi.
Le aziende superano regolarmente gli audit e pubblicano rapporti impeccabili anche mentre ospitano rischi operativi evidenti.
Risolvere questo fallimento di disciplina richiede una sicurezza operativa esplicita e applicata. I team dovrebbero utilizzare dispositivi gestiti, una forte protezione degli endpoint e crittografia dell’intero disco; gli accessi aziendali dovrebbero sfruttare gestori di password e MFA resistente al phishing.
Formazione e Normative
È fondamentale investire nella formazione sulla sicurezza operativa; i dipendenti (non i team di cybersecurity) sono la prima linea di difesa contro gli attacchi di ingegneria sociale. Le aziende dovrebbero dedicare tempo a formare i propri team per riconoscere i probabili attacchi di phishing e praticare una corretta igiene dei dati.
Inoltre, non possiamo aspettarci che le organizzazioni adottino volontariamente posture di cybersecurity rinforzate; i regolatori devono intervenire e stabilire standard operativi applicabili che rendano la vera sicurezza non opzionale.
Conclusione
È fondamentale investire nella sicurezza operativa ora, poiché il tasso di attacchi sta crescendo esponenzialmente. L’AI generativa ha cambiato l’economia dell’inganno, permettendo agli aggressori di personalizzare e automatizzare il phishing su scala industriale.
Le organizzazioni devono adottare una postura più difensiva e assumere di essere sotto la costante minaccia di un attacco di ingegneria sociale. L’ingegneria sociale non scomparirà, ma possiamo renderla molto meno efficace e molto meno catastrofica quando si verificano attacchi.
Man mano che l’industria si rinforza contro questi attacchi, l’ingegneria sociale diventerà meno redditizia per gli hacker e il tasso di attacchi diminuirà, portando finalmente a una vera fine di questo ciclo frenetico di vulnerabilità.
Jan Philipp Fritsche
