Blog/L'ABC della sicurezza online/

Cos'è un'e-mail di phishing

Cybersecurity Content Writer

I truffatori possono inviarti e-mail o messaggi falsi per indurti a fornire loro i tuoi dati. Come fare a riconoscerli? In questo articolo, ti spieghiamo tutto quello che devi sapere sulle e-mail di phishing, fornendoti anche alcuni esempi.

In un attacco di phishing, un truffatore va alla ricerca di possibili vittime utilizzando un'e-mail come esca. Questa potrebbe contenere dei link pericolosi, che diffondono una serie di malware sul dispositivo qualora ci clicchi sopra. Le e-mail di phishing riproducono i loghi e i font aziendali, nonché i nomi dei domini in modo così accurato che non nutrirai alcun sospetto quando ti verrà chiesto di "confermare la password rispondendo all'e-mail".

5 esempi di e-mail di phishing

  1. E-mail di persone che fingono di essere bloccate in un paese straniero. In genere hanno bisogno che tu invii loro dei soldi in modo che possano tornare a casa. Il principe nigeriano a cui occorre una donazione urgente di 1.500 $ è una variazione sul tema.

  2. I truffatori possono fare leva sulle debolezze umane e trarne vantaggio facendo riferimento a notizie e questioni di attualità. Perfino in una pandemia globale come quella del Covid-19 possono vedere un'opportunità di profitto. Fai attenzione ai messaggi di testo che parlano di "multe" a chi esce di casa, ai finti siti web che offrono sgravi fiscali e ai raggiri che riguardano l'acquisto di mascherine e disinfettanti per le mani. Queste sono solo alcune delle truffe in circolazione in questo momento, quindi stai sempre all'erta.

  3. E-mail in cui i truffatori minacciano di farti del male se non invii loro ingenti quantità di denaro entro un certo lasso di tempo.

  4. E-mail riferite a un reclamo che sai di non aver effettuato. Ovviamente, non cedere alla tentazione di saperne di più cliccando sul link (che contiene stringhe di codice pericolose).

  5. E-mail che fingono di provenire da organizzazioni o aziende affidabili. Potrebbero chiederti di cambiare la password o di fornire maggiori informazioni su di te per un motivo urgente.

Come capire se si tratta di un'e-mail di phishing

Se sai a cosa prestare attenzione, le truffe di phishing sono abbastanza facili da riconoscere. Gli indizi sono spesso nascosti in bella vista.

  1. Un saluto generico. Non fidarti delle e-mail indirizzate a "Signore/Signora" o "Sig./Sig.ra". Le aziende affidabili hanno un database e si rivolgono sempre ai propri clienti per nome. Presta sempre attenzione al linguaggio e alla sua fluidità: abbreviazioni, uso di parole gergali ed errori di ortografia sono segnali inequivocabili.

  2. Piccole variazioni nel nome del dominio. Il nome del dominio è la dicitura che segue la chiocciola (@) nell'indirizzo e-mail del mittente. Visto che ogni dominio è unico, diffida se ricevi l'e-mail da "[email protected]" anziché "[email protected]". In questo caso, il trattino è il primo segnale di una possibile truffa. Fai attenzione ai numeri inseriti al posto delle lettere, e così via.

  3. E-mail in cui vengono richieste informazioni personali. Le aziende legittime sono soggette a regole sulla protezione dei dati, dunque non ti chiederanno mai di fornire informazioni personali via e-mail. Inoltre, non ti invieranno mai un link su cui cliccare per inserirle. Si tratta di una misura di sicurezza adottata dalla maggior parte delle aziende per contrastare le e-mail di phishing.

  4. Allegati non richiesti e inaspettati. Se ricevi un'e-mail con un allegato sospetto e di dubbia natura che non ti aspettavi, è molto probabile che si tratti di un tentativo di phishing. Evita sempre di scaricarli o aprirli.

  5. Errori ortografici e grammaticali. Uno dei modi più semplici per identificare un'e-mail di phishing è quello di cercare eventuali errori grammaticali. Un'e-mail inviata da una fonte attendibile dovrebbe essere ben scritta. Gli errori di grammatica sono spesso la conseguenza della pigrizia e della negligenza degli hacker.

  6. Link sospetti che ti obbligano ad aprire una finta pagina web. Le organizzazioni legittime che comunicano via e-mail generalmente non costringono i clienti a visitare il proprio sito. Le e-mail di phishing, invece, possono essere costituite da un unico collegamento ipertestuale tale per cui, ovunque tu clicchi, ti reindirizzerà a un sito web falso o sospetto.

Cosa devi fare se hai risposto a un'e-mail di phishing

Se temi che un truffatore abbia i tuoi dati, metti subito in atto le misure seguenti. Questi accorgimenti sono validi soprattutto nel caso di dati sensibili compromessi, come il numero della carta di credito o di previdenza sociale, i dati della patente di guida, le credenziali bancarie e l'indirizzo di residenza.

  • Se il tuo numero di previdenza sociale è stato compromesso: controlla il tuo conto bancario. Cerca relazioni di credito gratuite online e valuta di impostare sul tuo conto un blocco gratuito del credito o un avviso di frode per rendere più difficile l'apertura di un conto a tuo nome da parte di soggetti terzi. Archivia le dichiarazioni dei redditi prima che i truffatori possano accedervi; generalmente, utilizzano il numero di previdenza sociale per ottenere un lavoro o un rimborso fiscale.

  • Se i dati del tuo conto bancario sono stati compromessi: chiudi il conto e aprine uno nuovo. Richiedi una nuova carta di debito o credito e contatta il reparto frodi della tua banca per richiedere un risarcimento.

  • Se hai cliccato su un link che ha scaricato un malware sul dispositivo: aggiorna immediatamente il software ed esegui un'analisi per verificare l'assenza di eventuali virus e il corretto funzionamento del dispositivo.

  • Se le tue credenziali sono state compromesse: modifica immediatamente tutte le password e valuta l'utilizzo di un gestore di password per rafforzare la tua sicurezza generale. Un Password Manager ti aiuta a generare password forti e univoche e ti permette di memorizzare e accedere alle tue credenziali di accesso all'istante e in modo sicuro, anche quando sei offline.

Come bloccare le e-mail di phishing

Tieni a mente che non hai alcun obbligo o pressione a rispondere a un'e-mail. Se sospetti che si tratti di un messaggio di phishing, chiama direttamente il numero di telefono indicato sul sito web del mittente o invia un'email all'indirizzo che trovi anche lì.

Non utilizzare mai i link, i numeri di telefono o gli indirizzi web presenti in un'e-mail inaspettata, inviata da mittenti sconosciuti o contenente messaggi che ti chiedono di agire immediatamente.

Negli Stati Uniti puoi:

  • inoltrare tutti i messaggi di testo di phishing a SPAM (7726);

  • inviare le e-mail sospette al Gruppo di lavoro anti-phishing all'indirizzo [email protected];

  • segnalare qualsiasi attacco di phishing alla Federal Trade Commission su questa pagina: ReportFraud.ftc.gov.

Iscriviti alla newsletter di NordPass

Ricevi le ultime notizie e i suggerimenti di NordPass direttamente nella tua casella di posta.