Cos'è il phishing e come proteggersi

Il phishing è un tipo di attacco di ingegneria sociale in cui un criminale impersona un'entità fidata — come una banca, una piattaforma social o un ente governativo — per indurti a rivelare informazioni sensibili.

Il termine "phishing" viene dal "fishing" (pesca) — l'attaccante lancia un'esca (un messaggio falso) e aspetta che qualcuno abbocchi. A differenza dell'hacking tecnico, il phishing non sfrutta le vulnerabilità del software. Sfrutta la fiducia e l'urgenza umane.

Un tipico attacco di phishing funziona così:

• Ricevi un messaggio che sembra ufficiale (email, SMS o DM)
• Il messaggio crea urgenza: "Il tuo account verrà sospeso", "Rilevato accesso sospetto", "Conferma subito la tua identità"
• Clicchi su un link che porta a una pagina di login falsa identica a quella reale
• Inserisci le credenziali — che vanno direttamente all'attaccante

Il phishing è la causa numero uno delle compromissioni di account su piattaforme come Facebook, provider email e servizi bancari.

Il phishing si è evoluto ben oltre le ovvie email truffaldine. Ecco le forme più comuni che incontrerai:

Email phishing

• La forma classica — email false che impersonano banche, piattaforme o servizi
• Spesso include linguaggio urgente e un link a una pagina di login contraffatta
• L'indirizzo del mittente può sembrare simile a quello reale ma con sottili differenze

SMS phishing (smishing)

• Messaggi di testo che affermano di provenire da servizi di consegna, banche o agenzie governative
• Spesso contengono URL abbreviati che nascondono la vera destinazione
• Sempre più comuni e più difficili da filtrare rispetto alle email

Phishing sui social media

• Messaggi diretti da account di amici compromessi che chiedono di "guardare questo" o "votarmi"
• False notifiche di copyright o di verifica su Instagram e Facebook
• Truffe nei commenti con link a finti omaggi o pagine di login

Voice phishing (vishing)

• Telefonate che fingono di provenire dal supporto tecnico, dalla tua banca o dalle forze dell'ordine
• Il chiamante crea urgenza e chiede di fornire dettagli dell'account o installare software

Il filo comune: tutte le forme di phishing sfruttano la fiducia e creano un falso senso di urgenza per farti agire prima di pensare.

Individuare il phishing diventa più facile una volta che sai cosa cercare. Questi sono i segnali d'allarme più affidabili:

• Urgenza e minacce — "Agisci ora o il tuo account verrà eliminato." I servizi legittimi raramente ti minacciano con conseguenze immediate in un singolo messaggio.
• Indirizzo del mittente sospetto — guarda attentamente. "support@faceb00k-security.com" non è Facebook. Controlla il dominio email effettivo, non solo il nome visualizzato.
• Saluti generici — "Caro utente" o "Gentile cliente" invece del tuo nome può indicare una campagna di phishing di massa.
• URL non corrispondenti — passa il mouse sui link (senza cliccare) per vedere la destinazione reale. Se il testo del link dice "instagram.com" ma l'URL punta altrove, è phishing.
• Grammatica o formattazione scadente — sebbene il phishing sia migliorato, molti tentativi contengono ancora errori ortografici, formattazione strana o branding inconsistente.
• Allegati inattesi — le piattaforme legittime quasi mai inviano allegati. Se ne ricevi uno inaspettatamente, non aprirlo.
• Richieste di credenziali tramite messaggio — nessun servizio legittimo ti chiederà mai di inviare la password, il PIN o il codice di verifica via email o chat.

In caso di dubbio, non cliccare il link. Invece, apri una nuova finestra del browser e vai direttamente al sito del servizio digitandone l'indirizzo.

Se ti rendi conto di aver cliccato un link di phishing o inserito le credenziali su una pagina falsa, non farti prendere dal panico — ma agisci immediatamente:

• Cambia immediatamente la password — vai direttamente al sito reale (digita tu stesso l'URL) e cambia la password con una completamente nuova.
• Attiva subito il 2FA — se non l'hai ancora fatto, attiva l'autenticazione a due fattori sull'account interessato e sulla tua email.
• Controlla gli accessi non autorizzati — controlla le sessioni attive e l'attività recente. Disconnetti tutti i dispositivi che non riconosci.
• Metti in sicurezza la tua email — se hai inserito le credenziali email su una pagina di phishing, il tuo account email è ora la priorità. Un'email compromessa dà agli attaccanti accesso a tutto.
• Controlla le regole di inoltro — gli attaccanti spesso impostano l'inoltro email per ricevere silenziosamente copie dei tuoi messaggi.
• Monitora i tuoi account — tieni d'occhio le attività sospette nei giorni e nelle settimane successive, inclusi gli account che usano la stessa password.
• Segnala la pagina di phishing — la maggior parte dei browser e dei provider email ha opzioni per segnalare il phishing. Questo aiuta a proteggere gli altri.

Se hai inserito informazioni finanziarie, contatta immediatamente la tua banca per bloccare o monitorare le carte o i conti interessati.

La migliore protezione contro il phishing è una combinazione di consapevolezza e pratiche di sicurezza di base:

• Attiva il 2FA su tutti gli account importanti — anche se un attaccante ottiene la tua password tramite phishing, l'autenticazione a due fattori gli impedisce di accedere.
• Usa password uniche — non riutilizzare mai le password tra i servizi. Un password manager rende questo pratico.
• Verifica prima di cliccare — quando ricevi un messaggio su problemi dell'account, vai direttamente al sito web invece di cliccare il link nel messaggio.
• Tieni aggiornato il software — browser e client email aggiornano regolarmente il rilevamento del phishing. Mantienili aggiornati.
• Sii scettico dell'urgenza — le aziende legittime ti danno tempo per agire. Se un messaggio richiede azioni immediate, è un segnale d'allarme.
• Educate te stesso e gli altri — più sei familiare con le tattiche di phishing, più è facile individuarle. Condividi questa conoscenza con famiglia e amici.