Ingegneria Sociale — Kit di Simulazioni

Simulazione 01 · Phishing

Trova i segnali di allarme

Esamina ogni email. Clicca sugli elementi evidenziati in giallo che ti sembrano sospetti. Poi usa "Rivela tutti" per il debriefing in aula.

Da:Marco Bianchi <m.bianch1@rossi-srl.it>

A:Giulia Ferretti <g.ferretti@rossi-srl.it>

Oggetto:URGENTE — Bonifico da processare OGGI entro ore 17:00

Giulia,

sono in riunione con un cliente e non posso parlare. Devo che tu faccia subito un bonifico di €18.500 sul conto che ti indico sotto. È per un'acquisizione che stiamo chiudendo stamattina.

Non ne parlare con nessuno in azienda per il momento — ci sono questioni di riservatezza. Procedi direttamente tu.

IBAN: IT60 X054 2811 1010 0000 0123 456
Beneficiario: Venture Capital Partners Ltd
Causale: Acconto acquisizione

Ti chiedo la massima discrezione e celerità. Fammi sapere appena fatto.

Marco Bianchi | Direttore Generale | Rossi S.r.l.

Segnali trovati: 0 / 5

Indirizzo email: "bianch1" con il numero 1 al posto della lettera i — domain spoofing tipico del BEC. Difficile da notare nella fretta.

Oggetto con "URGENTE" e deadline esplicita — crea pressione temporale per eliminare il pensiero critico (principio di scarcità).

Richiesta di bonifico via email senza alcuna procedura di verifica — mai autorizzare pagamenti su richiesta email, indipendentemente dal mittente apparente.

Richiesta di segretezza verso i colleghi — isola la vittima per impedire qualsiasi verifica o confronto interno.

Doppia pressione finale: "massima discrezione" e "celerità" — eliminare ogni possibilità di pausa riflessiva prima di eseguire.

Simulazione 02 · Vishing

Script annotati — analisi della telefonata

Trascrizioni di chiamate reali ricostruite. Le etichette in arancione identificano la tecnica psicologica usata dall'attaccante. Da proiettare e leggere ad alta voce in aula.

VishingFinto tecnico IT — furto credenziali VPN

Dipendente:

"Pronto, ufficio contabilità?"

Attaccante:

"Ciao, sono Luca dal reparto IT. Autorità Stiamo facendo un controllo di sicurezza urgente sui VPN — c'è stata una segnalazione di accessi anomali stamattina."

Dipendente:

"Ah, non sapevo niente..."

Attaccante:

"Sì, è una cosa interna. Riprova sociale Sto già verificando gli altri colleghi. Avrei bisogno di confermare il tuo username VPN per escluderti dalla lista dei potenziali compromessi."

Dipendente:

"Il mio username è mferrari..."

Attaccante:

"Perfetto. Impegno e coerenza — escalation E la password attuale la posso avere per completare la verifica? Solo per confermare che non sia stata compromessa."

Dipendente:

"Hmm... di solito non la do..."

Attaccante:

"Capisco il dubbio. Scarcità + minaccia Ma nel sistema vedo che il tuo account è nella lista rossa — se non lo verifico ora lo blocchiamo preventivamente e domani mattina non riesci ad entrare."

Tecniche rilevate: autorità (IT interno), riprova sociale (altri già verificati), impegno progressivo (prima username poi password), scarcità finale (blocco imminente). La risposta corretta: "Dimmi il tuo cognome e ti richiamo al numero interno dell'IT che ho in rubrica."

Simulazione 03 · Sicurezza fisica

Scenari decisionali — cosa faresti?

Ogni scenario descrive una situazione reale. Seleziona la risposta che daresti. Il feedback spiega perché la risposta è corretta o sbagliata.

Tailgating

Stai entrando in ufficio passando il badge. Alle tue spalle c'è un uomo in giacca e cravatta con un tablet sotto il braccio. Non lo riconosci. Ti dice: "Può tenermi la porta? Sono il consulente di Verdi che devo incontrare stamattina, il mio badge non è ancora attivo."

Cosa fai?

Baiting

Tornando dalla pausa pranzo trovi nel parcheggio una chiavetta USB. Ha un'etichetta scritta a mano: "Stipendi 2024 — RISERVATO". La chiavetta sembra appartenere a qualcuno dell'azienda.

Cosa fai?

Pretexting fisico

Una donna in divisa da tecnica si presenta alla reception dicendo di dover controllare i tubi dell'acqua in tutti i piani. Non ha appuntamento registrato ma dice: "Ho parlato con il vostro responsabile facilities la settimana scorsa." Mostra un tesserino di una ditta di manutenzione.

Come gestisce la situazione la reception?

Simulazione 04 · Riconoscimento

Identifica il principio di Cialdini

Leggi ogni scenario di attacco. Seleziona il principio di influenza predominante che l'attaccante sta utilizzando. Feedback immediato con spiegazione.

Scenario 1 di 6

Simulazione 05 · Verifica finale

Quiz rapido — 8 domande

Verifica la comprensione dei contenuti del corso. Ogni risposta sbagliata mostra la spiegazione corretta.

0

risposte corrette

su 8 domande

Ingegneria Sociale — La Minaccia Umana