Il phishing \u00e8 un tentativo di truffa in cui qualcuno si finge un’entit\u00e0 affidabile, una banca, un corriere, un servizio online, un collega, per indurre la vittima a consegnare informazioni riservate o a compiere un’azione dannosa. Il nome richiama l’idea della pesca: si lancia un’esca a molte persone, contando sul fatto che qualcuna abbocchi.<\/p>\n
A differenza degli attacchi che sfruttano falle tecniche, il phishing prende di mira la persona, non il sistema. Non cerca di forzare una password con il calcolo, ma di convincere la vittima a digitarla volontariamente. \u00c8 la forma pi\u00f9 comune di ingegneria sociale, ovvero la manipolazione psicologica usata per ottenere accessi o informazioni. Per questo nessun antivirus o protocollo di cifratura, da solo, pu\u00f2 fermarlo del tutto: l’anello su cui agisce \u00e8 quello umano.<\/p>\n
Il phishing \u00e8 efficace perch\u00e9 fa leva su reazioni umane prevedibili, scavalcando il ragionamento critico. Riconoscere queste leve \u00e8 il primo passo per resistere.<\/p>\n
La pi\u00f9 sfruttata \u00e8 l’urgenza. “Il tuo account verr\u00e0 bloccato entro 24 ore”, “transazione sospetta, conferma subito”: creare l’impressione che ci sia poco tempo spinge ad agire d’impulso, senza verificare. Strettamente legata \u00e8 la paura, ad esempio la minaccia di una multa, di un addebito o della perdita di un servizio.<\/p>\n
Altre leve sono l’autorit\u00e0, ovvero impersonare un superiore, un’istituzione o un marchio noto per indurre obbedienza; la curiosit\u00e0, con messaggi che promettono una notizia, una foto o un documento da aprire; e l’avidit\u00e0, con finte vincite, rimborsi o offerte troppo vantaggiose. In tutti i casi lo schema \u00e8 identico: suscitare un’emozione abbastanza forte da far saltare il controllo razionale.<\/p>\n
Il phishing si presenta in diverse varianti, distinte soprattutto dal canale e dal grado di personalizzazione.<\/p>\n
\u00c8 la forma classica. Un messaggio che imita una comunicazione legittima invita a cliccare un collegamento, ad aprire un allegato o a rispondere con dati riservati. Il collegamento porta spesso a un sito falso, costruito per somigliare a quello vero, dove le credenziali digitate finiscono direttamente all’attaccante.<\/p>\n
Quando il messaggio \u00e8 confezionato su misura per una persona specifica, usando il suo nome, il suo ruolo o informazioni reali, si parla di phishing mirato (in inglese spear phishing). \u00c8 molto pi\u00f9 insidioso perch\u00e9 credibile. I dati necessari a personalizzarlo provengono spesso da violazioni di dati<\/a> precedenti, che forniscono nomi, indirizzi e dettagli da sfruttare. Una variante prende di mira i dirigenti e le figure di vertice, dove un singolo inganno pu\u00f2 autorizzare bonifici o accessi di grande valore.<\/p>\n Il phishing non vive solo nelle email. Lo smishing usa gli SMS, spesso fingendo un avviso di consegna di un pacco o un alert bancario, con un collegamento da toccare. Il vishing usa invece la telefonata: una voce che si spaccia per l’assistenza tecnica o per la banca e guida la vittima a fornire codici o a installare programmi. Il telefono aggiunge un senso di immediatezza che rende l’inganno particolarmente efficace.<\/p>\n Per quanto curati, i tentativi di phishing lasciano quasi sempre dei segnali. Imparare a cercarli, prima di agire, \u00e8 la difesa pi\u00f9 efficace.<\/p>\n Il primo controllo riguarda il mittente e l’indirizzo. Conviene osservare l’indirizzo email reale, non solo il nome mostrato, e diffidare di domini quasi corretti ma non identici, con lettere sostituite, parole aggiunte o estensioni diverse da quelle ufficiali. Lo stesso vale per i collegamenti: passando il puntatore sopra un link (senza cliccare) si vede l’indirizzo di destinazione, che spesso non corrisponde a quello atteso.<\/p>\n Il secondo controllo \u00e8 il tono. Richieste urgenti, minacce di conseguenze immediate e pressioni ad agire subito sono il marchio di fabbrica del phishing. Un’organizzazione seria raramente chiede di “confermare la password” o di “sbloccare l’account” tramite un collegamento in un messaggio non sollecitato.<\/p>\n Altri segnali utili: errori di lingua o frasi tradotte male, un saluto generico (“Gentile cliente”) al posto del proprio nome, allegati inattesi, e soprattutto qualunque richiesta di credenziali, codici di sicurezza o dati di pagamento. Nessun servizio legittimo chiede via email o telefono il proprio codice di autenticazione o l’intera password.<\/p>\n Un’ultima accortezza pratica vale anche di fronte a un sito apparentemente protetto. Come spiega l’articolo su HTTPS e TLS<\/a>, il lucchetto del browser indica soltanto che la connessione \u00e8 cifrata, non che il sito sia legittimo: anche una pagina di phishing pu\u00f2 mostrarlo. Il controllo decisivo resta l’indirizzo del dominio, non la sola presenza del lucchetto.<\/p>\n Oltre al riconoscimento, alcune misure riducono sia la probabilit\u00e0 di cadere nel phishing sia il danno nel caso accada.<\/p>\n La regola d’oro \u00e8 non agire dal messaggio, ma in modo indipendente. Se un’email della banca segnala un problema, non si clicca il collegamento contenuto nel messaggio: si apre il sito digitandone l’indirizzo a mano, o si usa l’app ufficiale, e si verifica da l\u00ec. Questo semplice gesto neutralizza la maggior parte dei tentativi, perch\u00e9 taglia fuori il sito falso.<\/p>\nSmishing e vishing<\/h3>\n
Come riconoscere un tentativo di phishing<\/h2>\n
Difese che funzionano<\/h2>\n