Che cos’è il phishing
Il phishing è un tentativo di truffa in cui qualcuno si finge un’entità affidabile, una banca, un corriere, un servizio online, un collega, per indurre la vittima a consegnare informazioni riservate o a compiere un’azione dannosa. Il nome richiama l’idea della pesca: si lancia un’esca a molte persone, contando sul fatto che qualcuna abbocchi.
A differenza degli attacchi che sfruttano falle tecniche, il phishing prende di mira la persona, non il sistema. Non cerca di forzare una password con il calcolo, ma di convincere la vittima a digitarla volontariamente. È la forma più comune di ingegneria sociale, ovvero la manipolazione psicologica usata per ottenere accessi o informazioni. Per questo nessun antivirus o protocollo di cifratura, da solo, può fermarlo del tutto: l’anello su cui agisce è quello umano.
Perché funziona: la leva dell’ingegneria sociale
Il phishing è efficace perché fa leva su reazioni umane prevedibili, scavalcando il ragionamento critico. Riconoscere queste leve è il primo passo per resistere.
La più sfruttata è l’urgenza. “Il tuo account verrà bloccato entro 24 ore”, “transazione sospetta, conferma subito”: creare l’impressione che ci sia poco tempo spinge ad agire d’impulso, senza verificare. Strettamente legata è la paura, ad esempio la minaccia di una multa, di un addebito o della perdita di un servizio.
Altre leve sono l’autorità, ovvero impersonare un superiore, un’istituzione o un marchio noto per indurre obbedienza; la curiosità, con messaggi che promettono una notizia, una foto o un documento da aprire; e l’avidità, con finte vincite, rimborsi o offerte troppo vantaggiose. In tutti i casi lo schema è identico: suscitare un’emozione abbastanza forte da far saltare il controllo razionale.
Le forme più diffuse
Il phishing si presenta in diverse varianti, distinte soprattutto dal canale e dal grado di personalizzazione.
Phishing via email
È la forma classica. Un messaggio che imita una comunicazione legittima invita a cliccare un collegamento, ad aprire un allegato o a rispondere con dati riservati. Il collegamento porta spesso a un sito falso, costruito per somigliare a quello vero, dove le credenziali digitate finiscono direttamente all’attaccante.
Phishing mirato
Quando il messaggio è confezionato su misura per una persona specifica, usando il suo nome, il suo ruolo o informazioni reali, si parla di phishing mirato (in inglese spear phishing). È molto più insidioso perché credibile. I dati necessari a personalizzarlo provengono spesso da violazioni di dati precedenti, che forniscono nomi, indirizzi e dettagli da sfruttare. Una variante prende di mira i dirigenti e le figure di vertice, dove un singolo inganno può autorizzare bonifici o accessi di grande valore.
Smishing e vishing
Il phishing non vive solo nelle email. Lo smishing usa gli SMS, spesso fingendo un avviso di consegna di un pacco o un alert bancario, con un collegamento da toccare. Il vishing usa invece la telefonata: una voce che si spaccia per l’assistenza tecnica o per la banca e guida la vittima a fornire codici o a installare programmi. Il telefono aggiunge un senso di immediatezza che rende l’inganno particolarmente efficace.
Come riconoscere un tentativo di phishing
Per quanto curati, i tentativi di phishing lasciano quasi sempre dei segnali. Imparare a cercarli, prima di agire, è la difesa più efficace.
Il primo controllo riguarda il mittente e l’indirizzo. Conviene osservare l’indirizzo email reale, non solo il nome mostrato, e diffidare di domini quasi corretti ma non identici, con lettere sostituite, parole aggiunte o estensioni diverse da quelle ufficiali. Lo stesso vale per i collegamenti: passando il puntatore sopra un link (senza cliccare) si vede l’indirizzo di destinazione, che spesso non corrisponde a quello atteso.
Il secondo controllo è il tono. Richieste urgenti, minacce di conseguenze immediate e pressioni ad agire subito sono il marchio di fabbrica del phishing. Un’organizzazione seria raramente chiede di “confermare la password” o di “sbloccare l’account” tramite un collegamento in un messaggio non sollecitato.
Altri segnali utili: errori di lingua o frasi tradotte male, un saluto generico (“Gentile cliente”) al posto del proprio nome, allegati inattesi, e soprattutto qualunque richiesta di credenziali, codici di sicurezza o dati di pagamento. Nessun servizio legittimo chiede via email o telefono il proprio codice di autenticazione o l’intera password.
Un’ultima accortezza pratica vale anche di fronte a un sito apparentemente protetto. Come spiega l’articolo su HTTPS e TLS, il lucchetto del browser indica soltanto che la connessione è cifrata, non che il sito sia legittimo: anche una pagina di phishing può mostrarlo. Il controllo decisivo resta l’indirizzo del dominio, non la sola presenza del lucchetto.
Difese che funzionano
Oltre al riconoscimento, alcune misure riducono sia la probabilità di cadere nel phishing sia il danno nel caso accada.
La regola d’oro è non agire dal messaggio, ma in modo indipendente. Se un’email della banca segnala un problema, non si clicca il collegamento contenuto nel messaggio: si apre il sito digitandone l’indirizzo a mano, o si usa l’app ufficiale, e si verifica da lì. Questo semplice gesto neutralizza la maggior parte dei tentativi, perché taglia fuori il sito falso.
L’autenticazione a due fattori, descritta nell’articolo sulla sicurezza delle password, è una rete di sicurezza preziosa: anche se la password viene consegnata a un sito falso, senza il secondo fattore l’attaccante spesso non riesce comunque ad accedere. Le chiavi di sicurezza fisiche, in particolare, sono progettate per resistere proprio al phishing, perché verificano crittograficamente il dominio e non si lasciano ingannare da una pagina contraffatta.
Anche un gestore di password offre una protezione indiretta. Poiché compila le credenziali solo sul dominio corretto a cui sono associate, se ci si trova su un sito di phishing semplicemente non le inserisce: quel silenzio è un campanello d’allarme da non ignorare. Infine, tenere aggiornati browser e sistema operativo aiuta, perché molti programmi segnalano i siti di phishing già noti.
Cosa fare se si è caduti nella trappola
Anche le persone attente possono sbagliare, soprattutto sotto pressione o in un momento di distrazione. Se si sospetta di aver consegnato dati a un tentativo di phishing, conta agire in fretta e con metodo.
Il primo passo è cambiare immediatamente la password del servizio coinvolto, accedendo dal sito ufficiale e non dal messaggio sospetto. Se quella stessa password era stata riutilizzata altrove, va cambiata su tutti gli account interessati, perché l’attaccante la proverà ovunque. È il momento, se non lo si era già fatto, di attivare l’autenticazione a due fattori.
Se sono stati esposti dati di pagamento, occorre avvisare subito la banca o l’emittente della carta, che può bloccare la carta e sorvegliare le transazioni. Conviene poi controllare gli account per accessi o modifiche non autorizzate, ad esempio cambi di indirizzo email o di numero di recupero, che gli attaccanti usano per mantenere il controllo. In un contesto lavorativo, va segnalato senza esitazione al reparto informatico: la rapidità della segnalazione spesso fa la differenza tra un incidente contenuto e uno grave, e nascondere l’errore lo peggiora.
In sintesi
Il phishing non attacca le macchine ma le persone, sfruttando urgenza, paura e fiducia per ottenere ciò che la tecnologia non gli concederebbe. La difesa più solida è un’abitudine mentale: diffidare delle richieste urgenti, verificare mittenti e indirizzi, e non agire mai direttamente dai collegamenti ricevuti, ma raggiungere i servizi per conto proprio. Affiancati dall’autenticazione a due fattori e da un gestore di password, questi accorgimenti rendono il phishing molto meno efficace. E se l’inganno riesce comunque, reagire in fretta (cambiare le password, avvisare la banca, controllare gli account) limita il danno in modo decisivo.
