Gli incidenti di cybersicurezza non riguardano più solo i sistemi, ma prendono di mira anche le persone che li costruiscono, li mantengono e li proteggono.
Scritto dal nostro ex vicepresidente di prodotto Mark Hamill, questo blog esplora il motivo per cui la tradizionale formazione di sensibilizzazione non è sufficiente per proteggersi dalle minacce moderne e perché lo stile di attacco long-con sta diventando un problema critico per le organizzazioni di tutto il mondo.
Stai parlando con questa persona da due settimane.
Il primo messaggio è arrivato tramite LinkedIn: un fondatore riconosciuto da un’azienda del tuo settore. Un messaggio premuroso, non troppo impegnativo. Ti ha invitato a entrare nel loro spazio di lavoro Slack per dare un’occhiata a qualcosa che stavano costruendo. Lo spazio di lavoro era attivo: i colleghi pubblicavano aggiornamenti, condividevano articoli e aggiungevano qualche battuta nel canale generale. Tutto sembrava esattamente come doveva essere.
Le telefonate sono andate bene. Una è stata riprogrammata - ci sono degli imprevisti - ma le conversazioni sono state interessanti e lui conosceva chiaramente il settore. Alla terza settimana, hai iniziato a considerarlo un contatto che vale la pena mantenere.
Poi la chiamata a Teams è caduta a causa di un piccolo problema tecnico, qualcosa non si caricava sul suo lato, un problema di connessione, un file che doveva essere aggiornato. Ti ha inviato un link. “Puoi installare questa soluzione? Succede sempre”.
L’hai installato tu.
È quello che è successo a Jason Saayman, lead maintainer di Axios, una delle librerie JavaScript più utilizzate al mondo con oltre 100 milioni di download a settimana.
Il 31 marzo 2026, due versioni retrodatate di Axios sono state pubblicate nel repository di codice pubblico sotto il suo account.
La violazione non è iniziata con un’email sospetta, come ci si potrebbe aspettare, ma con un rapporto di amicizia.
Questo non era un Phish
Un attacco di phishing è un gioco di numeri. Invia un numero sufficiente di messaggi, accetta un basso tasso di successo e raccogli tutto quello che trovi. L’attacco di Axios è stato l’opposto. L’attaccante - attribuito da Google Threat Intelligence a UNC1069, un gruppo legato alla Corea del Nord attivo almeno dal 2018 - ha scelto Saayman per le sue credenziali. Hanno costruito un falso spazio di lavoro Slack con un branding convincente, canali attivi e colleghi plausibili e hanno gestito il coinvolgimento per settimane, con la pazienza di riprogrammare le chiamate, mantenere la relazione e aspettare il momento giusto.
Un secondo manutentore di Axios, Pelle Wessman, è stato preso di mira contemporaneamente con lo stesso playbook. Non si è trattato di un unico incontro sfortunato, ma di un’operazione coordinata che si è svolta in parallelo contro più persone di alto valore nell’ecosistema Node.js.
La raffinatezza non è accessoria. È il punto. Quando un singolo set di credenziali può esporre milioni di ambienti software, settimane di investimenti non sono costose. È economico.
La sofisticazione non è una protezione
La scomoda verità sul compromesso di Axios è a chi è successo.
Jason Saayman non è una persona sbadata. Aveva attivato l’autenticazione a due fattori sul suo account. Aveva conoscenze tecniche e anni di esperienza nel software open-source. Secondo ogni ragionevole misura, era esattamente il tipo di persona che i corsi di sensibilizzazione alla sicurezza mirano a creare.
Non era importante. Nella sua autopsia, ha notato che la 2FA “non era sufficiente a fermare l’attacco una volta che la macchina era stata compromessa”. L’attaccante non aveva bisogno di battere la credenziale. Avevano il computer e tutto ciò che conteneva era già loro.
L’attacco non era stato progettato per superare le difese di Saayman. Era stato progettato per renderle irrilevanti. Quando si è unito alla chiamata delle Squadre, settimane di normale interazione avevano gettato le basi. La sua guardia non era abbassata perché era distratto, ma perché in due settimane nulla gli aveva dato motivo di alzarla.
Questo è il progetto e funziona con le persone sofisticate proprio perché queste ultime si fidano del proprio giudizio. Se qualcosa non andasse bene, lo sapresti. Non c’è niente che non vada.
L’economia delle minacce informatiche sta cambiando
Al momento, questo livello di operazioni è praticabile solo quando il premio giustifica l’investimento. Gli attori degli stati-nazione prendono di mira i manutentori di risorse aperte, gli scambi di criptovalute, le infrastrutture critiche. La superficie di attacco è reale ma limitata, perché il lavoro umano coinvolto è significativo.
Le cose stanno cambiando.
La scorsa settimana, l’azienda di sviluppo di intelligenza artificiale ha pubblicato la scheda di sistema di Claude Mythos Preview, il suo ultimo modello di lingua di grandi dimensioni. Durante i test di sicurezza, il modello è stato collocato all’interno di un ambiente, deliberatamente limitato dall’accesso a internet. Gli è stato assegnato un compito e, una volta completato, ha ideato un exploit in più fasi, ha ottenuto un ampio accesso a Internet e ha inviato un’e-mail non richiesta al ricercatore che stava conducendo la valutazione, il quale lo ha scoperto mentre mangiava un panino in un parco.
Il modello non stava cercando di scappare, stava perseguendo il suo obiettivo. La sabbiera era d’intralcio, quindi ha trovato un percorso per aggirarla.
Questo comportamento, in un contesto di attacco, è esattamente ciò che rende scalabile il playbook long-con. Un sistema in grado di costruire e mantenere un personaggio credibile, di ricercare il background professionale di un obiettivo, di simulare settimane di interazioni plausibili e di intervenire al momento giusto può fare tutto questo contemporaneamente, su migliaia di obiettivi. Il costo marginale di ogni obiettivo aggiuntivo si avvicina a zero.
Non siamo ancora arrivati a questo punto, ma la direzione di marcia è chiara.
La sicurezza oltre il riconoscimento dei modelli
I corsi di formazione sulla sicurezza sono stati creati per un mondo in cui gli attacchi avevano schemi riconoscibili. L’indirizzo del mittente sospetto. L’urgenza che non si adatta al contesto. La richiesta che non corrisponde alla relazione. Individua l’anomalia, blocca l’azione.
Quel modello non è sbagliato. Cattura ancora molti attaccanti ed è importante. Ma è stato progettato per attacchi che sembrano attacchi.
La truffa lunga non sembra un attacco. Ha l’aspetto di una normale relazione professionale, fino alla fase finale, e a quel punto il contesto è stato costruito in modo da far sembrare quella fase una routine. Il riconoscimento generico degli schemi non ha senso in questo caso, perché non ci sono schemi da riconoscere. Il libro dei giochi viene riscritto più velocemente di quanto qualsiasi programma fisso possa fare.
Ciò che deve cambiare è il significato di consapevolezza. Non si tratta solo di riconoscere i segnali di minaccia, ma di sviluppare un diverso tipo di istinto: uno scetticismo che non viene innescato da un’anomalia, ma applicato come abitudine. Una verifica che non dipenda dalla sensazione di qualcosa di sbagliato. Una pratica consolidata di conferma indipendente per qualsiasi azione che coinvolga le credenziali, l’installazione di software o l’accesso, indipendentemente da quanto la fonte appaia familiare.
In parte si tratta anche di cambiare ciò che le persone si sentono autorizzate a segnalare. Nel caso di Axios, probabilmente ci sono stati dei momenti: una conversazione che sembrava un po’ fuori luogo, una richiesta che non andava bene, un collega che non ha mai dato seguito come avrebbe fatto un vero collega. Niente di tutto ciò ha superato la soglia del “qualcosa non va”. Ma se la cultura è quella di chi fa emergere in anticipo i segnali di scarsa fiducia: “Ho avuto un’interazione strana la scorsa settimana, probabilmente nulla, ma la riferirò lo stesso”, le organizzazioni hanno la possibilità di cogliere le basi prima che diventino il carico. Una segnalazione precoce e incerta non è un rumore. In questo ambiente di minacce, è un segnale.
È più difficile da allenare di una lista di controllo. Richiede che le persone interiorizzino una postura, non solo uno schema. Ma è la lacuna che ogni operazione di lunga durata continuerà a sfruttare fino a quando la cultura non si modificherà.
Jason Saayman ha installato una correzione perché nulla nelle due settimane precedenti a quel momento gli ha dato motivo di non farlo. Questo non è un fallimento della sua consapevolezza. È un fallimento di ciò che abbiamo chiesto alla consapevolezza di fare.
La truffa lunga non scatena i tuoi istinti, ma li coltiva.
Rafforza le difese della tua azienda con MetaCompliance
In un panorama di minacce in cui gli attacchi si basano sulla fiducia, le organizzazioni hanno bisogno di qualcosa di più della tradizionale formazione di sensibilizzazione alla sicurezza. Hanno bisogno di programmi che modellino attivamente il comportamento, costruendo abitudini di verifica, incoraggiando la segnalazione tempestiva di problemi di scarsa fiducia e radicando una cultura in cui la sicurezza faccia parte del processo decisionale quotidiano.
MetaCompliance aiuta le organizzazioni a superare la formazione statica con soluzioni di sensibilizzazione alla sicurezza continue e orientate al comportamento. Dalle simulazioni del mondo reale all’apprendimento mirato e agli approfondimenti incentrati sul rischio, il loro approccio è progettato per preparare i dipendenti ad affrontare minacce sofisticate e incentrate sull’uomo come la truffa lunga.
Inizia a trasformare la consapevolezza in azione: contattacioggi stesso.