Email di phishing

Come funziona il phishing

Qualcuno ti invia un'email che sembra provenire dalla tua banca. Oggetto: "Urgente: attività sospetta sul tuo conto." L'email include il logo della tua banca, usa i suoi colori e ti dice di fare clic su un link per verificare immediatamente la tua identità. Fai clic, atterri su quella che sembra esattamente la pagina di accesso della tua banca, inserisci nome utente e password, e boom. Hai appena consegnato le tue credenziali a un truffatore.

Questo è phishing. L'email in realtà non proviene dalla tua banca. La pagina di accesso è falsa. Ora il truffatore ha la tua password e può svuotare il tuo conto.

Questi attacchi funzionano perché sfruttano urgenza e fiducia. "Il tuo account verrà sospeso entro 24 ore." "Abbiamo rilevato attività insolita." "Conferma subito la tua identità o perderai l'accesso." Ti spingono ad agire in fretta senza pensare. E stanno diventando sempre più sofisticati. Le moderne email di phishing spesso hanno una grammatica perfetta, indirizzi del mittente dall'aspetto legittimo e un branding convincente. I tempi delle evidenti truffe del "principe nigeriano" sono per lo più finiti.

Come identificare un'email di phishing 

Un linguaggio urgente o minaccioso è il primo campanello d'allarme. Le aziende legittime non minacciano di chiudere il tuo account se non rispondi entro poche ore. I truffatori creano un'urgenza artificiale per aggirare il tuo scetticismo.

Controlla attentamente l'indirizzo del mittente. "support@amaz0n.com" (con uno zero) non è Amazon. "accounts@paypa1.com" (con il numero uno) non è PayPal. Passa il cursore sul nome del mittente per vedere il vero indirizzo email. Ancora meglio, controlla le informazioni dell'intestazione dell'email.

Saluti generici come "Gentile cliente" o "Gentile utente" invece del tuo vero nome suggeriscono un phishing di massa. Anche se alcuni attacchi sofisticati usano davvero il tuo nome, quindi questo da solo non è decisivo.

Fai attenzione ad allegati o link inaspettati. La tua banca non ti invierà una fattura come file ZIP. Probabilmente il tuo collega non ti ha inviato un documento PDF casuale se non te lo aspettavi. In caso di dubbio, contatta il presunto mittente tramite un altro canale prima di aprire qualsiasi cosa.

Nessuna azienda legittima ti invierà mai un'email chiedendoti la password, il codice fiscale, i dati della carta di credito o i codici di autenticazione a due fattori. Mai. Se un'email ti chiede queste cose, è falsa.

Gli errori grammaticali o di formattazione oggi sono un segnale meno affidabile, ma molte email di phishing contengono ancora formulazioni strane o traduzioni goffe. Le aziende professionali rileggono le loro email.

Passa il cursore sui link prima di fare clic (non cliccare, limita a passare il cursore). Se l'URL mostrato non corrisponde alla destinazione dichiarata del link, si tratta di phishing. Un link che dice "mybank.com" ma in realtà punta a "mybank-verify-login-2024.ru" è ovviamente falso.

Tipi di attacchi di phishing

Alcuni attacchi di phishing sono mirati, altri sono indiscriminati. 

Il spear phishing colpisce persone specifiche con informazioni personalizzate. I truffatori fanno ricerche su di te su LinkedIn, trovano i tuoi colleghi, magari notano che hai appena iniziato un nuovo lavoro. Poi creano messaggi che sembrano inquietantemente accurati. Molto più convincenti delle comunicazioni generiche inviate in massa.

Poi c'è il whaling. È quando prendono di mira i dirigenti. Qualcuno si spaccia per il CEO e invia un'email al reparto finanziario richiedendo con urgenza un bonifico. Questi attacchi costano milioni alle aziende perché i dirigenti hanno accesso a somme di denaro importanti.

Il clone phishing è più subdolo. Prendono un'email legittima che hai ricevuto in precedenza (magari una ricevuta o una notifica), la copiano, sostituiscono i link con link malevoli e la inviano di nuovo. La riconosci perché hai ricevuto la versione autentica la settimana scorsa, quindi ti fidi senza pensarci due volte.

Vishing e smishing? Non sono email, ma sono collegati. Il vishing avviene tramite telefonate, lo smishing tramite messaggi di testo. Stesse tattiche di truffa, canali diversi.

Truffe di phishing recenti del 2026

Truffa di phishing con Microsoft Power BI

Questa era piuttosto ingegnosa. I truffatori hanno usato la vera funzione di notifica di Microsoft Power BI per inviare email di phishing da veri indirizzi Microsoft. Ricevevi un messaggio che sosteneva che qualcuno avesse addebitato da 400 a 700 dollari sul tuo account PayPal, con un numero di telefono da chiamare per "contestare" l'addebito.

Ecco dove la situazione si faceva pesante: quando chiamavi, la persona dall'altra parte sosteneva di essere di Microsoft. Ti guidava nell'installazione di un software di accesso remoto per "risolvere il problema." Questo dava loro il controllo completo del tuo computer. PCWorld ha documentato l'intero attacco all'inizio del 2026.

Le email sembravano legittime perché erano legittime, semplicemente abusate. È questo che ha reso efficace questa truffa.

Operazione Tycoon 2FA

Tycoon 2FA era fondamentalmente phishing-as-a-service. Pagavi un abbonamento e ottenevi accesso a una piattaforma in grado di inviare email di phishing convincenti che aggiravano l'autenticazione a due fattori. Al suo picco, colpiva oltre 500.000 organizzazioni al mese con decine di milioni di messaggi.

Sanità e istruzione sono stati i settori più colpiti. Più di 100 membri di Health-ISAC sono stati vittime di phishing, causando reali problemi operativi (ritardi nelle cure dei pazienti negli ospedali di New York, scuole interrotte). Microsoft ha tracciato 96.000 vittime distinte in tutto il mondo prima che le forze dell'ordine lo bloccassero nel marzo 2026.

A metà del 2025, Tycoon era responsabile del 62% di tutti i tentativi di phishing bloccati da Microsoft. In un solo mese, hanno fermato più di 30 milioni di email provenienti da questa singola piattaforma. Ecco come funziona oggi il phishing su scala industriale.

Attacchi ClickFix e falsi CAPTCHA

Conosci quei controlli CAPTCHA "Non sono un robot"? Gli aggressori hanno capito come falsificarli. Atterri su quella che sembra una pagina di verifica legittima, ma invece di fare clic su caselle, vieni indotto a copiare ed eseguire sul tuo computer comandi PowerShell malevoli.

The Hacker News ha riferito che circa 147.500 sistemi sono stati infettati tra la fine di agosto 2025 e l'inizio del 2026. Le campagne recenti hanno preso di mira i creatori sui social media sostenendo che potessero ottenere badge verificati. Le vittime guardavano video tutorial che mostravano come copiare "token di autenticazione" dai cookie del browser, il che in realtà installava software di monitoraggio remoto.

Nel 2025, il 30% di questi attacchi ha usato falsi prompt di verifica per installare strumenti di accesso remoto. Il tasso di successo? Abbastanza alto da spingere gli aggressori a continuare a usare lo stesso schema.

Perché funziona? Perché le persone sono abituate a completare i CAPTCHA senza pensarci. Vedi "verifica di essere umano" e procedi cliccando. È proprio questo automatismo a renderlo pericoloso.

Cosa fare se ricevi un'email di phishing

Non fare clic su nulla. Non aprire gli allegati. Non seguire i link. Non rispondere. Eliminala e basta.

Segnalala: la maggior parte dei client email ha un pulsante "Segnala phishing". Gmail, Outlook e altri provider usano queste segnalazioni per migliorare i loro filtri antispam e proteggere altri utenti.

Verifica in modo indipendente: se l'email sostiene di provenire dalla tua banca, chiudila e accedi direttamente alla tua banca tramite il suo sito web o la sua app. Non usare i link dell'email sospetta. Se nel tuo vero account è tutto a posto, l'email era falsa.

Verifica con il mittente: se l'email di phishing sostiene di provenire da qualcuno che conosci, contattalo con un metodo diverso (chiamalo, mandagli un messaggio, scrivigli su Slack). Non rispondere direttamente all'email sospetta.

Cosa devo fare se ho già cliccato su un'email di phishing? 

Cambia immediatamente le tue password, soprattutto se hai inserito credenziali su un sito falso. Attiva l'autenticazione a due fattori se non l'hai già fatto. Monitora i tuoi account per rilevare attività non autorizzate. Se hai inserito i dati della carta di credito, contatta la tua banca per bloccare la carta.

Come proteggerti 

SPF, DKIM e DMARC

Se controlli un dominio, implementa SPF, DKIM e DMARC per impedire ai truffatori di falsificare il tuo indirizzo email verso altri. Anche se questo non ti proteggerà dalla ricezione di tentativi di phishing, proteggerà gli altri dagli attacchi di phishing che si spacciano per te.

Attiva l'autenticazione a due fattori ovunque possibile. 

Anche se qualcuno ruba la tua password tramite phishing, non potrà accedere al tuo account senza il secondo fattore, rendendoti un bersaglio molto più difficile. Sii diffidente verso email inaspettate, soprattutto richieste urgenti che riguardano denaro o credenziali. Quando qualcosa sembra sospetto, di solito lo è—fidati del tuo istinto.

Mantieni il tuo software aggiornato. 

I browser moderni e i client email hanno un rilevamento del phishing integrato che migliora a ogni aggiornamento, quindi restare aggiornati ti aiuta a beneficiare delle funzionalità di sicurezza più recenti. Se sei responsabile di un'azienda, esegui regolarmente simulazioni di phishing. I dipendenti sono spesso l'anello più debole della sicurezza e la formazione tramite test realistici li aiuta a riconoscere ed evitare attacchi reali.

Valuta l'uso di un gestore di password. 

Questi strumenti compilano automaticamente le password solo sui siti legittimi, il che significa che se il tuo gestore di password non compila automaticamente su quello che sembra il sito della tua banca, è un segnale d'allarme che il sito è falso. Questo livello aggiuntivo di verifica può intercettare tentativi di phishing che altrimenti potrebbero ingannarti. 

Disattiva il caricamento delle immagini remote 

In alcuni client email come Spark Desktop, puoi anche disattivare il caricamento delle immagini remote per una protezione aggiuntiva: apri Impostazioni di Spark Desktop > Generali > Carica immagini remote > Disattiva l'interruttore.

Contenuti correlati

• Privacy nelle email di Spark
• Frasi da evitare nelle email
• La regola dei due minuti per le email
• I migliori client email 

Termini correlati

• Email spam
• Spoofing email
• Autenticazione a due fattori
• Autenticazione email