Ti offro qualcosa, tu mi dai qualcosa. Sembra uno scambio equo, ma e' una trappola: l'attaccante offre aiuto o premi in cambio delle tue credenziali o dei tuoi dati.
Il quid pro quo (letteralmente “qualcosa in cambio di qualcosa”) e un attacco di social engineering che sfrutta un principio psicologico potentissimo: la reciprocita. Se qualcuno ti offre qualcosa, ti senti in dovere di ricambiare.
L'attaccante ti offre un servizio, un regalo o aiuto tecnico. In cambio ti chiede “solo” le tue credenziali, un accesso remoto al tuo PC, o informazioni che sembrano innocue. Il trucco e che l'offerta sembra ragionevole. Il prezzo che paghi, no.
E come un venditore porta a porta che ti regala un campione gratuito e poi ti chiede di firmare un contratto da migliaia di euro. Solo che qui il “contratto” e l'accesso alla tua rete aziendale.
Il quid pro quo via email prende forme diverse. Tutte hanno una cosa in comune: ti offrono qualcosa che non hai chiesto.
Ricevi un'email: "Abbiamo rilevato un problema sul tuo account. Il nostro supporto tecnico puo' risolverlo gratuitamente, basta che ci fornisci le credenziali di accesso." Sembra un servizio. In realta' e' il modo piu' veloce per rubarti l'account.
"Hai vinto un buono Amazon da 500 euro! Per riceverlo, compila questo form con i tuoi dati aziendali." La promessa di un regalo attiva il desiderio di ricambiare: in cambio del premio, condividi dati che valgono molto piu' di 500 euro.
"Partecipa al nostro sondaggio sulla cybersecurity e ricevi un report gratuito." Le domande sembrano innocue, ma raccolgono informazioni sulla tua infrastruttura IT: quale antivirus usi, quale email provider, quanti dipendenti hai. Oro per un attaccante.
"Prova gratis il nostro tool di sicurezza email." Per installarlo devi disattivare l'antivirus e fornire accesso amministratore. Il tool e' in realta' un malware che apre una backdoor nella tua rete.
Il quid pro quo sfrutta meccanismi psicologici radicati nel comportamento umano. Non e un difetto: e come siamo programmati. Ecco perche e cosi efficace:
Se qualcuno ti fa un favore, senti il bisogno di ricambiare. Robert Cialdini l'ha dimostrato negli anni '80 e vale ancora oggi. Se l'“IT support” ti aiuta con un problema, ricambi dandogli le credenziali.
L'attaccante si presenta come “supporto tecnico” o “security team”. L'autorita percepita riduce il senso critico: se lo dice il tecnico, sara vero.
“Offerta limitata”, “solo i primi 100”, “scade oggi”. La paura di perdere un'opportunita accelera le decisioni e riduce l'analisi critica.
“Sto solo rispondendo a un sondaggio” — la richiesta sembra piccola e innocua. Non ti rendi conto che stai condividendo informazioni critiche perche ogni singola domanda sembra innocente.
dei dipendenti cede credenziali quando gli viene offerto “supporto tecnico gratuito” (Social Engineering Benchmark 2025)
tasso di successo superiore rispetto al phishing tradizionale quando l'offerta sembra legittima
delle vittime non si rende conto dell'attacco fino a settimane dopo, quando i dati sono gia stati usati
Calcola quanto potrebbe costare un attacco alla tua azienda con il Calcolatore Costo Attacco.
Le email di quid pro quo non contengono malware ne link ovviamente malevoli. Il pericolo e nel contenuto. Ecco come MailSniper le intercetta:
MailSniper analizza il significato delle email. Rileva offerte sospette abbinate a richieste di dati: "ti offriamo X in cambio di Y" e' un pattern che viene segnalato e verificato.
Se qualcuno si spaccia per il supporto tecnico Microsoft o per un vendor noto, MailSniper verifica l'identita' del mittente contro i domini legittimi e blocca le impersonazioni.
I "tool gratuiti" e i "form da compilare" nascondono spesso malware o pagine di credential harvesting. MailSniper li analizza in sandbox prima che arrivino alla tua casella.
Anche se l'email non viene bloccata, MailSniper puo' aggiungere un banner di avviso: "Questa email contiene una richiesta di dati non verificata." Il dipendente e' avvisato.
La famiglia di attacchi basati sulla manipolazione psicologica, di cui il quid pro quo fa parte.
Simile al quid pro quo, ma usa un'esca (file, chiavetta USB) invece di un'offerta di servizio.
L'attacco piu' diffuso via email. Il quid pro quo ne e' una variante piu' sofisticata e mirata.