TLDR

  • Kevin Mitnick non è interessante solo per i computer violati: è interessante perché ha mostrato quanto sia fragile la fiducia tra persone, procedure e sistemi.
  • La parte più attuale della sua storia non è il modem, ma il social engineering: telefonate, identità credibili, urgenza, abitudini di help desk e accessi dati per scontati.
  • Nel 2026 lo stesso pattern vive in phishing multicanale, MFA fatigue, finti supporti IT, deepfake vocali e OAuth consent phishing.
  • La difesa non è paranoia: è progettare verifiche, canali separati, log leggibili e procedure che non puniscano chi si ferma a controllare.

Il mito sbagliato da smontare

Kevin Mitnick è una di quelle storie che Internet tende a trasformare in figurina.

Il più ricercato.

Il genio del telefono.

Il fantasma delle reti.

Il consulente che poi spiegava alle aziende come non farsi fregare.

Tutto vero a metà, quindi pericoloso.

La parte interessante non è usare Mitnick come poster vintage dell'hacker ribelle. La parte utile è chiedersi perché molte sue tecniche funzionavano prima del web moderno e perché continuano a funzionare adesso, anche con SSO, MFA, endpoint detection, zero trust, badge, policy e portali aziendali.

La risposta è scomoda:

la fiducia è ancora il protocollo più esposto.

Kevin Mitnick durante una conferenza nel 2010
Kevin Mitnick durante una conferenza nel 2010: la parte interessante della sua storia non è il mito, ma il modo in cui fiducia, pressione e identità diventano superficie d'attacco. Foto: Campus Party México, CC BY 2.0, via Wikimedia Commons.

Non era solo computer

La biografia pubblica di Mitnick passa da accessi non autorizzati a reti, sistemi telefonici, aziende tecnologiche, arresti, condanne, anni di carcere e poi una seconda vita da consulente e autore.

Ma leggere la storia solo come cronaca giudiziaria perde il punto tecnico.

Il social engineering non era un contorno.

Era il moltiplicatore.

Un sistema può essere robusto quanto vuoi, ma prima o poi qualcuno deve:

  • rispondere a una richiesta;
  • riconoscere una voce;
  • resettare una password;
  • aprire un ticket urgente;
  • dare un'informazione "innocua";
  • fidarsi di un collega che sembra sapere troppo bene come funziona l'azienda.

Mitnick capì presto una cosa che oggi chiamiamo human attack surface: ogni organizzazione ha memoria, routine, ruoli e cortesie. Se impari abbastanza bene il linguaggio interno, smetti di sembrare un estraneo.

Questa è la parte che non invecchia.

Il bus, il telefono, l'help desk

Una delle storie più ripetute su Mitnick riguarda la curiosità infantile per i sistemi di trasporto e telefonia: capire come funzionano, come vengono controllati, quali segnali aprono quali porte.

Non serve romanticizzarla. Serve usarla come lente.

Molti attacchi non cominciano con "bucare il firewall".

Cominciano con:

  • osservare un badge;
  • capire un formato di ticket;
  • leggere un organigramma;
  • chiamare nel momento giusto;
  • conoscere il nome di un software interno;
  • sapere quali parole fanno scattare urgenza.

L'attaccante non deve convincere tutti.

Deve convincere la persona giusta per trenta secondi.

Il 2026 non è più sicuro solo perché ha più MFA

Oggi il social engineering si è spostato su canali molto più ricchi.

Email, Slack, Teams, Zoom, SMS, calendari, finti portali HR, app OAuth, notifiche push, voice call, deepfake vocali, QR code, browser sync, device code flow.

Il succo è sempre quello:

far sembrare normale un'azione anomala.

Gli attacchi multicanale recenti puntano proprio lì. Non ti arriva più solo "clicca qui". Ti arriva una sequenza: invito calendario, messaggio in chat, telefonata, pagina credibile, richiesta MFA, falso supporto. Ogni pezzo da solo sembra plausibile. Insieme costruiscono pressione.

La MFA fatigue è la versione moderna del colpo al centralino: non rompo la crittografia, rompo la pazienza.

Continuo a mandare richieste.

Chiamo dicendo che è un test urgente.

Ti faccio sentire colpevole se non approvi.

La tecnologia verifica il gesto.

Non verifica sempre il contesto.

La lezione vera: togliere eroismo dalle procedure

Il difensore non deve diventare paranoico.

Deve rendere la verifica normale.

Un help desk sano non chiede all'operatore di "sentire a intuito" se la persona al telefono è vera. Gli dà una procedura, un secondo canale, un limite, una traccia, una frase pronta per fermarsi senza perdere faccia.

Esempi pratici:

  • nessun reset password solo via telefono;
  • callback su numero già registrato, non su quello fornito nella chiamata;
  • approvazione separata per account privilegiati;
  • blocco automatico dopo troppi prompt MFA;
  • passkey dove possibile;
  • log chiari sugli eventi di autenticazione;
  • training su casi reali, non quiz finti e infantili;
  • cultura interna che premia chi chiede conferma.

La sicurezza buona non dice "non fidarti di nessuno".

Dice: fidati solo dentro un rito controllabile.

Perché Mitnick è ancora una storia utile

La figura di Mitnick resta controversa, ed è giusto che sia così.

Ci sono vittime, aziende, danni, processi, racconti mediatici, libri, versioni diverse e una trasformazione professionale successiva. Ridurlo a "eroe" o "criminale" non aiuta chi vuole capire sicurezza.

Aiuta molto di più questa domanda:

quali parti della mia organizzazione funzionano ancora perché qualcuno sembra convincente?

Se la risposta è "troppe", il problema non è la persona.

È il design.

Esercizio difensivo da fare domani

Prendi un processo sensibile: reset password, cambio IBAN, accesso VPN, recupero account, aggiunta amministratore, richiesta urgente di dati.

Poi chiediti:

  1. Chi può avviarlo?
  2. Chi può approvarlo?
  3. Quali prove vengono richieste?
  4. Quelle prove possono essere trovate online?
  5. C'è un canale separato di conferma?
  6. L'operatore può dire no senza essere punito?
  7. I log mostrano la storia completa?
  8. Cosa succede se qualcuno imita un dirigente?

Questo è un test da tavolo.

Non serve impersonare nessuno.

Serve capire dove la fiducia è stata lasciata senza parapetto.

La frase da ricordare

Un exploit tecnico trova un bug nel codice.

Il social engineering trova un bug nella fiducia.

E la fiducia, se non la progetti, finisce sempre in produzione.

FAQ

Kevin Mitnick era un hacker etico?

Dipende dal periodo storico. Fu condannato per accessi non autorizzati e frodi informatiche, poi lavorò come consulente, autore e formatore di sicurezza. La storia va letta intera, senza santificarla e senza ridurla a un poster.

Che cosa c'entra Mitnick con il phishing moderno?

Il filo comune è la fiducia. Oggi gli attacchi usano email, chat, calendari, telefonate, richieste MFA e portali legittimi, ma cercano ancora lo stesso risultato: convincere una persona a fare un passo che il sistema considera valido.

Il social engineering si risolve con la formazione?

La formazione aiuta, ma non basta. Servono procedure verificabili, ruoli chiari, canali di conferma separati, limiti agli help desk e sistemi che rendano facile dire 'aspetta, controllo'.

Perché questa storia interessa ancora chi fa sicurezza oggi?

Perché ricorda che la sicurezza non è solo codice. Ogni azienda ha persone che resettano password, approvano accessi, rispondono al telefono, gestiscono eccezioni e credono a chi sembra sapere abbastanza.

Come posso fare un test legale su questo tema?

Parti da esercizi difensivi: mappa chi può resettare credenziali, quali prove chiede l'help desk, come vengono autorizzate eccezioni e dove finiscono i log. Non impersonare persone reali senza mandato scritto.

Fonti