Le opinioni espresse qui appartengono esclusivamente all’autore e non rappresentano le opinioni della redazione di crypto.news.<\/p>\n
Negli ultimi dodici mesi, la maggior parte delle vulnerabilit\u00e0<\/strong> nel settore delle criptovalute ha avuto una causa comune: le persone<\/em>. Solo negli ultimi mesi, Ledger ha esortato gli utenti a sospendere l’attivit\u00e0 on-chain dopo che i manutentori di npm sono stati ingannati e pacchetti malevoli si sono propagati; Workday ha rivelato una campagna di ingegneria sociale che ha compromesso i dati in un CRM di terze parti; e operatori legati alla Corea del Nord hanno continuato a utilizzare offerte di lavoro false contro i team crypto per diffondere malware.<\/p>\n Nonostante i miliardi spesi in cybersecurity<\/strong>, le aziende continuano a essere vulnerabili a semplici attacchi di ingegneria sociale. I team investono denaro in misure di sicurezza tecniche, audit e revisioni del codice, trascurando la sicurezza operativa, l’igiene dei dispositivi e i fattori umani di base. Con il crescente spostamento delle attivit\u00e0 finanziarie on-chain, questo punto cieco diventa un rischio sistemico<\/strong> per l’infrastruttura digitale.<\/p>\n L’unico modo per rallentare l’aumento degli attacchi di ingegneria sociale \u00e8 un investimento ampio e sostenuto nella sicurezza operativa<\/strong>, che riduca l’efficacia di queste tattiche. Il Rapporto sulle Indagini sulle Violazioni dei Dati di Verizon del 2025 collega l'”elemento umano” della cybersecurity (phishing, credenziali rubate e errori quotidiani) a circa il 60%<\/strong> delle violazioni dei dati.<\/p>\n L’ingegneria sociale funziona perch\u00e9 prende di mira le persone, non il codice, sfruttando fiducia, urgenza, familiarit\u00e0 e routine.<\/p>\n<\/blockquote>\n Questi tipi di vulnerabilit\u00e0 non possono essere eliminate attraverso un audit del codice e sono difficili da difendere con strumenti di cybersecurity automatizzati. La revisione del codice e altre pratiche comuni di cybersecurity non possono fermare un dipendente dall’approvare una richiesta fraudolenta che sembra provenire da un manager, o dal scaricare un falso aggiornamento di Zoom che sembra legittimo.<\/p>\n Il denaro programmabile<\/strong> concentra il rischio. In web3, compromettere una frase seed o un token API pu\u00f2 essere equivalente a violare una cassaforte bancaria. La natura irreversibile delle transazioni crypto amplifica gli errori: una volta che i fondi si muovono, spesso non c’\u00e8 modo di annullare la transazione. Un singolo errore nella sicurezza del dispositivo o nella gestione delle chiavi pu\u00f2 compromettere gli asset.<\/p>\n Il design decentralizzato di web3 significa che spesso non c’\u00e8 un help desk a cui rivolgersi, lasciando gli utenti a cavarsela da soli. Gli hacker, compresi i mercenari sostenuti dallo stato, hanno notato l’efficacia degli attacchi di ingegneria sociale e si sono adattati di conseguenza.<\/p>\n Le operazioni attribuite al Lazarus Group della Corea del Nord si basano fortemente sull’ingegneria sociale: offerte di lavoro false, PDF avvelenati, pacchetti malevoli e phishing mirato che sfrutta le vulnerabilit\u00e0 umane. Queste vulnerabilit\u00e0 sono sorprendentemente efficaci e semplici da eseguire, e le aziende tecnologiche sembrano incapaci di difendersi contro di esse.<\/p>\n A differenza delle vulnerabilit\u00e0 zero-day, che vengono rapidamente corrette, gli hacker possono sfruttare le stesse tattiche di ingegneria sociale ripetutamente. Troppe organizzazioni trattano ancora la sicurezza come un esercizio di conformit\u00e0 \u2014 un atteggiamento rinforzato da standard normativi permissivi.<\/p>\n Le aziende superano regolarmente gli audit e pubblicano rapporti impeccabili anche mentre ospitano rischi operativi evidenti.<\/p>\n<\/blockquote>\n Risolvere questo fallimento di disciplina richiede una sicurezza operativa<\/strong> esplicita e applicata. I team dovrebbero utilizzare dispositivi gestiti, una forte protezione degli endpoint e crittografia dell’intero disco; gli accessi aziendali dovrebbero sfruttare gestori di password e MFA resistente al phishing.<\/p>\n \u00c8 fondamentale investire nella formazione sulla sicurezza operativa<\/strong>; i dipendenti (non i team di cybersecurity) sono la prima linea di difesa contro gli attacchi di ingegneria sociale. Le aziende dovrebbero dedicare tempo a formare i propri team per riconoscere i probabili attacchi di phishing e praticare una corretta igiene dei dati.<\/p>\n Inoltre, non possiamo aspettarci che le organizzazioni adottino volontariamente posture di cybersecurity rinforzate; i regolatori devono intervenire e stabilire standard operativi applicabili che rendano la vera sicurezza non opzionale.<\/p>\n \u00c8 fondamentale investire nella sicurezza operativa ora, poich\u00e9 il tasso di attacchi sta crescendo esponenzialmente. L’AI generativa ha cambiato l’economia dell’inganno, permettendo agli aggressori di personalizzare e automatizzare il phishing su scala industriale.<\/p>\n Le organizzazioni devono adottare una postura pi\u00f9 difensiva e assumere di essere sotto la costante minaccia di un attacco di ingegneria sociale. L’ingegneria sociale non scomparir\u00e0, ma possiamo renderla molto meno efficace e molto meno catastrofica quando si verificano attacchi.<\/p>\n Man mano che l’industria si rinforza contro questi attacchi, l’ingegneria sociale diventer\u00e0 meno redditizia per gli hacker e il tasso di attacchi diminuir\u00e0, portando finalmente a una vera fine di questo ciclo frenetico di vulnerabilit\u00e0.<\/p>\n Jan Philipp Fritsche<\/em><\/p>\n","protected":false},"excerpt":{"rendered":" Divulgazione Le opinioni espresse qui appartengono esclusivamente all’autore e non rappresentano le opinioni della redazione di crypto.news. Vulnerabilit\u00e0 nel Settore delle Criptovalute Negli ultimi dodici mesi, la maggior parte delle vulnerabilit\u00e0 nel settore delle criptovalute ha avuto una causa comune: le persone. Solo negli ultimi mesi, Ledger ha esortato gli utenti a sospendere l’attivit\u00e0 on-chain dopo che i manutentori di npm sono stati ingannati e pacchetti malevoli si sono propagati; Workday ha rivelato una campagna di ingegneria sociale che ha compromesso i dati in un CRM di terze parti; e operatori legati alla Corea del Nord hanno continuato a utilizzare<\/p>\n","protected":false},"author":3,"featured_media":12705,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[64],"tags":[65,71,1089,72],"class_list":["post-12706","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hack","tag-hack","tag-lazarus","tag-ledger","tag-north-korea"],"yoast_description":"Esplora la crescente minaccia degli attacchi di ingegneria sociale alle aziende, mentre i fattori umani minano la cybersecurity nonostante gli investimenti in misure di sicurezza tecniche.","_links":{"self":[{"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/posts\/12706","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/comments?post=12706"}],"version-history":[{"count":0,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/posts\/12706\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/media\/12705"}],"wp:attachment":[{"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/media?parent=12706"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/categories?post=12706"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/tags?post=12706"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Investimenti nella Sicurezza Operativa<\/h2>\n
\n
Rischi del Denaro Programmabile<\/h2>\n
Strategie di Difesa<\/h2>\n
\n
Formazione e Normative<\/h2>\n
Conclusione<\/h2>\n