Gli hacker usano i tuoi post e profili per costruire trappole su misura: le email sembrano reali, ma servono a rubare credenziali e dati aziendali sensibili
Durante il giorno pubblichi un aggiornamento su LinkedIn, un progetto a cui stai lavorando, un reel su Instagram dal coworking, un like a una conferenza del tuo settore. Di notte, qualcuno — da tutt’altra parte del mondo — analizza quei dettagli e li trasforma in un attacco. È questo il volto moderno dello spear phishing, una tecnica molto più avanzata del classico phishing: non colpisce tutti, ma solo te.
Gli attacchi partono dai social, ma sembrano email del tuo capo
Negli ultimi anni, la condivisione pubblica di informazioni sui social è diventata terreno fertile per i cybercriminali. Lo spear phishing funziona così: si studiano le vittime — aziende, manager, sviluppatori — attraverso i profili pubblici su LinkedIn, GitHub, Instagram, X. Da lì si estraggono dati veri: nomi, ruoli, attività, viaggi di lavoro, strumenti aziendali, organigrammi. Poi si costruisce una mail su misura, che sembra reale, credibile, spesso urgente. E la vittima abbocca.
Le mail truffa non arrivano più da fantomatici “principi nigeriani”, ma da indirizzi clonati, magari con oggetto: “Aggiornamento urgente sul progetto marketing” o “Accesso negato al server: verifica”. Sono messaggi personalizzati, accurati, a volte con riferimenti veri a persone e attività interne, ed è proprio questo che li rende pericolosi. Anche chi è esperto può cascarci.
Secondo ESET, una delle prime fasi dell’attacco è la raccolta di dati pubblici. Qualsiasi post, commento o profilo aggiornato può fornire l’elemento chiave per costruire un inganno perfetto. Le vittime preferite? Chi lavora in risorse umane, IT, finanza, o chi ha accesso diretto a piattaforme aziendali e dati sensibili.
Lo spear phishing ti conosce meglio di te: ecco come usano i social per ingannarti – www.dossiertibet.it
Ma non è tutto: anche i siti aziendali e le offerte di lavoro sono una miniera di informazioni. I recruiter rivelano spesso tecnologie utilizzate, strumenti interni, software, nomi di responsabili. Un criminale può usarli per simulare un contatto interno e far aprire link infetti o moduli finti.
La protezione comincia da te: meno dati pubblici, più attenzione
Il rischio principale dello spear phishing è la precisione. A differenza del phishing di massa, qui l’inganno sembra “reale”, pensato per noi, e quindi più difficile da smascherare. LinkedIn è forse il canale più pericoloso, perché mostra in chiaro competenze, mansioni, contatti. GitHub, invece, rivela repository pubblici, mail aziendali, framework interni. E poi ci sono Instagram e X: un viaggio, una pausa caffè, un badge a un evento possono indicare quando e come colpire.
In ambienti aziendali, è fondamentale limitare l’esposizione pubblica. Il consiglio degli esperti è: usa sempre password complesse, verifica URL e mittente prima di cliccare, non condividere informazioni tecniche sui social e aggiorna costantemente software e antivirus. E se ricevi un messaggio che ti sembra strano, non fidarti subito, nemmeno se porta la firma del tuo capo.
Le aziende devono formare i dipendenti e monitorare anche la propria presenza digitale: ogni contenuto pubblico può diventare un’arma in mano agli aggressori. Una banale foto dell’ufficio pubblicata su Instagram, con un badge o un foglio in bella vista, può rivelare più del previsto.
Il rischio vale per tutti, non solo per le multinazionali. Qualsiasi azienda, anche piccola, che lavora con clienti, dati, sistemi cloud o fornitori, è un bersaglio. E chi ha accesso a questi sistemi, anche solo per errore o disattenzione, può diventare il punto d’ingresso degli hacker. Oggi basta un post sbagliato, e domani potresti trovarti con l’account bloccato o l’intera rete compromessa.
