Phishing: come riconoscere ed evitare gli attacchi

Ogni giorno nel mondo vengono inviati 3,4 miliardi di email di phishing. Dietro questi messaggi si nascondono tecniche di manipolazione sempre più sofisticate. Capire come funzionano è il modo migliore per proteggersi.

Cos'è il phishing e perché funziona?

Il phishing è una tecnica di frode che consiste nel fingersi un ente affidabile (una banca, un servizio di consegna, un'amministrazione pubblica) allo scopo di sottrarre informazioni personali. La sua efficacia si basa su un principio semplice: l'apparenza di legittimità.

Un'email di phishing riproduce loghi, colori e tono di un messaggio ufficiale. L'utente si fida dell'aspetto visivo per valutare l'affidabilità del messaggio, ed è esattamente questa abitudine che gli attaccanti sfruttano. Che si tratti di email, SMS o persino posta cartacea, il meccanismo è sempre lo stesso: creare un'apparenza credibile per ottenere un'azione impulsiva.

Come fanno gli attaccanti a creare un senso di urgenza?

I messaggi di phishing usano la pressione psicologica per aggirare il giudizio critico e spingere ad agire in fretta, prima di riflettere. L'obiettivo è provocare una reazione emotiva anziché un'analisi razionale.

I pretesti più comuni seguono uno schema ricorrente:

  • "Rilevata attività sospetta sul tuo account, cambia subito la tua password"
  • "Problema di pagamento, il tuo abbonamento verrà annullato"
  • "Pacco in attesa, spese doganali da saldare entro 24 ore"
  • "Avviso di sicurezza sulla tua carta bancaria"

Ogni messaggio contiene un link o un pulsante che rimanda a un sito falso, visivamente identico a quello autentico. È su quel sito che la vittima inserisce le proprie credenziali, convinta di accedere al servizio legittimo.

Come riconoscere un nome di dominio falso?

Il metodo più affidabile per identificare un sito di phishing è leggere attentamente l'URL, e in particolare il nome di dominio. Gli attaccanti utilizzano diverse tecniche di camuffamento per ingannare l'occhio.

Prendiamo example.com come dominio legittimo:

  • Abuso di sottodominio: example.another-dangerous-site.cam - qui il vero dominio è another-dangerous-site.cam, non example
  • Trattino ingannevole: example-secure-login.cam - un dominio completamente diverso che contiene il nome del brand
  • TLD diverso: example.site invece di example.com
  • Typosquatting: examplle.com - una lettera raddoppiata, facile da non notare in una lettura veloce

La regola da ricordare: il vero dominio è ciò che si trova immediatamente prima del TLD (.com, .it, .org). Tutto ciò che si trova a sinistra di un punto aggiuntivo è un sottodominio, che chiunque può creare.

È possibile verificare l'autenticità di un'email?

Sì, ma non affidandosi solo all'apparenza. I filtri antispam individuano una parte delle email fraudolente grazie a meccanismi tecnici come SPF e DKIM, che verificano che un'email sia stata effettivamente inviata da un server autorizzato per il dominio visualizzato.

SPF (Sender Policy Framework) elenca i server autorizzati a inviare email per un determinato dominio. DKIM (DomainKeys Identified Mail) aggiunge una firma crittografica verificabile dal destinatario. Queste informazioni sono visibili nelle intestazioni tecniche del messaggio.

Tuttavia, questi meccanismi hanno un limite importante: provano l'origine tecnica del dominio, non l'identità reale del mittente. Un attaccante può configurare SPF e DKIM perfettamente validi su un dominio come support-securite-amazon.com. Tecnicamente ineccepibile, ma umanamente ingannevole.

Perché il phishing via SMS è ancora più pericoloso?

Lo smishing (phishing via SMS) sfrutta le caratteristiche specifiche del mobile per aggirare i normali riflessi di vigilanza. L'SMS è spesso percepito come più affidabile di un'email, eppure le protezioni disponibili sono meno efficaci.

Diverse caratteristiche rendono gli SMS particolarmente rischiosi:

  • I filtri antispam sono meno performanti rispetto all'email
  • L'interfaccia mobile non mostra l'URL completa prima del clic
  • Il numero del mittente può essere sostituito da un nome alfanumerico (PosteItaliane, INPS) facilmente falsificabile
  • L'URL nel browser mobile è spesso troncata
  • Il messaggio fraudolento può inserirsi nella stessa conversazione di messaggi autentici dello stesso mittente

I pretesti sono simili a quelli del phishing via email: pacco in attesa, avviso bancario, rimborso da ricevere, convocazione amministrativa.

In che modo un gestore di password protegge dal phishing?

Un gestore di password confronta l'URL reale del sito con quella memorizzata per ciascuna credenziale. Se il dominio non corrisponde esattamente, non propone il riempimento automatico dei campi. Si tratta di una protezione passiva che non richiede alcuno sforzo da parte dell'utente.

Laddove l'occhio umano può confondere example.com con examplle.com, il gestore di password esegue un confronto rigoroso, carattere per carattere. Non è sensibile ai trucchi visivi di camuffamento del dominio. Questa verifica automatica costituisce una rete di sicurezza quotidiana: se il gestore non propone le tue credenziali su un sito, è un segnale d'allarme immediato.

Perché il 2FA non è sufficiente contro il phishing?

L'autenticazione a due fattori (2FA) rappresenta un reale miglioramento della sicurezza, ma non protegge contro gli attacchi di phishing automatizzati in tempo reale. In uno scenario cosiddetto AiTM (Adversary-in-the-Middle), l'attaccante intercetta e inoltra ogni fase del processo di autenticazione.

Lo scenario si svolge così: la vittima inserisce le proprie credenziali sul sito falso. Il sito pirata le trasmette immediatamente al sito reale, che invia un codice 2FA. La vittima inserisce il codice sul sito falso, che lo inoltra a sua volta. Il pirata si ritrova connesso con un codice valido, in tempo reale.

Il 2FA rimane efficace contro gli attacchi differiti — un database di password rubate diventa inutilizzabile se il 2FA è attivo. Ma contro un proxy in tempo reale, il codice monouso viene intercettato prima di scadere.

Le passkey proteggono dal phishing?

Sì. A differenza della combinazione password + codice 2FA, una passkey è legata crittograficamente al dominio esatto per cui è stata creata. Su un sito pirata, anche se visivamente identico, la passkey semplicemente non si attiva.

Non c'è nulla da intercettare e nulla da riutilizzare: l'autenticazione si basa su uno scambio crittografico tra il dispositivo dell'utente e il server legittimo. Nemmeno un proxy AiTM in tempo reale può aggirare questa protezione. Le passkey rappresentano la risposta strutturale al phishing, eliminando l'anello debole — il segreto condiviso che l'utente può trasmettere involontariamente.

Conviene mentire alle domande di sicurezza?

Le domande di sicurezza ("Come si chiama il tuo animale domestico?", "In quale città sei nato?") riguardano spesso informazioni semi-pubbliche. Un attaccante che abbia accesso ai tuoi profili social, a un database violato, o che ti conosca anche vagamente, può rispondervi al posto tuo.

Nessuno obbliga a dire la verità. A "Qual è il tuo animale preferito?" si può rispondere "il pianeta Marte". L'importante è poter ritrovare questa risposta falsa — un gestore di password è il posto naturale dove conservarla, esattamente come una password.

Cosa tenere a mente

  • Il phishing si basa sull'apparenza di legittimità e sul senso di urgenza: rallentare prima di cliccare è il primo riflesso da adottare
  • L'URL è l'unico indicatore affidabile: imparate a leggere il nome di dominio reale, soprattutto da mobile
  • Un gestore di password verifica l'URL al posto vostro e non si lascia ingannare dai domini falsi
  • Il 2FA protegge contro gli attacchi differiti, ma non contro il phishing in tempo reale
  • Le passkey sono l'unica protezione strutturale che rende il phishing tecnicamente impossibile
  • Mentite alle domande di sicurezza e conservate le vostre risposte false in un gestore di password

Proteggi le tue credenziali con il gestore di password Octopussian →

Registrazione gratuita

Nessuna carta di credito. Registrazione in 1 minuto

Aumentate la vostra efficienza da oggi. Registratevi per provare gratuitamente.

Utilizziamo la vostra email e il vostro nome
per creare il vostro spazio Octopussian.

oppure
@ Continua con la mia email

Rispettiamo la vostra privacy. Le vostre informazioni non saranno utilizzate per altri scopi.
Registrandovi, accettate i nostri termini di utilizzo e la nostra politica sulla privacy