La Voce Digitale
Cos'è il phishing e come riconoscerlo: guida completa

Cos'è il phishing e come riconoscerlo: guida completa

Dalle email truffa allo smishing: come funziona, quali sono i segnali e cosa fare per non cadere nella trappola

12 min di lettura
Tecnologia

Redazione La Voce Digitale

#phishing#sicurezza informatica#truffe online#cybersecurity

Il phishing è la forma di frode informatica più diffusa al mondo. Sfrutta l'inganno per ottenere password, dati bancari e informazioni personali. In questa guida vedrai come riconoscerlo, quali sono i tipi più comuni e cosa fare per proteggerti.

Cos'è il phishing

Il termine deriva dall'inglese fishing (pescare), con la "f" sostituita da "ph" — un riferimento al phreaking, l'hacking telefonico degli anni Settanta. La metafora è chiara: il truffatore lancia un'esca e attende che l'utente abbocchi.

Tecnicamente, il phishing è una frode basata sull'ingegneria sociale. L'attaccante si finge un'entità affidabile — banca, corriere, ente pubblico, collega — e induce la vittima a rivelare credenziali, dati di pagamento o ad aprire allegati infetti. Non sfrutta vulnerabilità tecniche: sfrutta la psicologia umana, in particolare paura, urgenza e fiducia nell'autorità.

Come funziona e quali sono i tipi principali

Tutte le varianti seguono lo stesso schema: contatto da fonte apparentemente affidabile, leva emotiva, richiesta di azione immediata. Cambia il canale e il grado di personalizzazione.

  • Email phishing: il vettore più diffuso. Email che imitano banche, corrieri (DHL, Amazon, Poste), servizi cloud. Spesso usano domini quasi identici a quelli reali (es. my-bank.com invece di mybank.com).
  • Smishing: phishing via SMS. Tipico: "Pacco in giacenza, traccia qui" con link a sito clone delle Poste o di un corriere.
  • Vishing: phishing telefonico. L'aggressore si spaccia per operatore bancario o tecnico per estorcere codici o autorizzazioni di pagamento.
  • Spear phishing: attacco mirato a una persona specifica. Il truffatore studia la vittima sui social per costruire un messaggio credibile. Più efficace del phishing di massa.
  • Whaling: spear phishing diretto a dirigenti aziendali. L'attaccante si finge CEO o CFO per autorizzare bonifici fraudolenti (la cosiddetta CEO fraud).
  • Pharming: redirezione automatica del traffico verso siti fasulli, senza che la vittima clicchi nulla. Manipola DNS o file hosts.
  • Angler phishing: condotto sui social network, spesso impersonando profili di assistenza clienti di brand noti.

I segnali per riconoscere un tentativo

Le truffe più sofisticate sono difficili da smascherare a occhio, ma la maggior parte presenta almeno uno di questi indizi.

  • Indirizzo mittente sospetto: il nome visualizzato può essere fasullo. Controlla sempre l'indirizzo email completo, non solo il nome.
  • Urgenza o minaccia: "Conto bloccato", "Pagamento in scadenza", "Devi agire entro 24 ore". Pressione emotiva per indurti a non riflettere.
  • Offerte irrealistiche: vincite a concorsi a cui non hai partecipato, rimborsi inattesi, premi vinti.
  • Link diversi dal testo: passa il mouse sul link senza cliccare e leggi l'URL reale. Se differisce dal testo o sembra strano, è phishing.
  • Errori di lingua: traduzioni automatiche, refusi, sintassi innaturale. Le aziende serie investono in copy curato.
  • Saluti generici: "Gentile cliente" invece del tuo nome è un indizio, ma le truffe più sofisticate ormai personalizzano.
  • Richieste di dati sensibili: nessuna banca o ente serio chiede password, PIN o codici di sicurezza via email o SMS.
  • Allegati inattesi: file ZIP, EXE o documenti Office da mittenti non previsti. Spesso contengono malware o macro pericolose.

Come proteggersi davvero

La difesa più efficace è la prevenzione comportamentale. Strumenti tecnici aiutano ma non bastano.

  • Verifica il mittente al ribasso: se ricevi una comunicazione dalla tua banca, non cliccare il link. Apri il browser, digita l'indirizzo ufficiale e accedi da lì.
  • Attiva l'autenticazione a due fattori (2FA): anche se rubano la tua password, senza il secondo fattore non possono entrare. Preferisci app come Google Authenticator o Authy ai codici SMS, che possono essere intercettati.
  • Usa password lunghe, uniche e generate da un password manager: una password rubata non deve compromettere tutti i tuoi account.
  • Aggiorna sempre sistema, browser, antivirus: le patch di sicurezza chiudono vulnerabilità note.
  • Non aprire allegati o link da mittenti sconosciuti: vale anche per messaggi WhatsApp e DM social.
  • Segnala i tentativi sospetti: Gmail e Outlook hanno il pulsante "Segnala phishing". In Italia puoi segnalare al CERT-AgID ([email protected]) e alla Polizia Postale.

Miti da sfatare

"Cadono solo le persone meno esperte". Falso. Lo spear phishing è progettato apposta per ingannare professionisti e dirigenti. Ricerche di Verizon e Proofpoint mostrano che anche utenti tecnici cliccano su link mirati.

"La mia banca non mi manderebbe mai un'email simile". Le truffe imitano proprio le banche. Il problema non è cosa farebbe la tua banca: è che il messaggio sembra venire da lei.

"Mi basta un buon antivirus". Il phishing non installa software malevolo: ti fa digitare dati tu stesso su un sito clone. L'antivirus non vede nulla.

Domande frequenti

Qual è la differenza tra phishing e spam?

Lo spam è pubblicità non richiesta, fastidiosa ma non necessariamente dannosa. Il phishing è una frode: il suo scopo è rubare dati o denaro, non vendere prodotti.

Cosa fare se ho già cliccato su un link di phishing?

Se non hai inserito dati: chiudi la pagina, scansiona il dispositivo con un antimalware aggiornato. Se hai inserito password: cambiala immediatamente, in tutti gli account dove usi la stessa. Se hai dato dati bancari: contatta la banca, blocca le carte, controlla i movimenti.

Il phishing colpisce solo le email?

No. Email, SMS (smishing), telefonate (vishing), social network, app di messaggistica come WhatsApp e Telegram, videogiochi, persino QR code falsi (quishing) sono tutti vettori usati.

Come si segnala un attacco di phishing in Italia?

Tre canali principali: il pulsante "Segnala phishing" del tuo client email; il CERT-AgID via email a [email protected] inoltrando il messaggio come allegato; la Polizia Postale tramite il portale ufficiale (commissariatodips.it).

Le aziende sono responsabili se i loro clienti cadono nel phishing?

Le aziende devono adottare misure ragionevoli (autenticazione forte, monitoraggio, formazione), ma la responsabilità ultima del clic è dell'utente. Tuttavia, in caso di frode, banche e servizi finanziari hanno spesso obblighi di rimborso, soprattutto sotto le normative europee (PSD2).

Fonti