Come funziona il phishing: la spiegazione delle truffe digitali

Il phishing è una delle truffe digitali più diffuse e insidiose. Si tratta di un attacco orchestrato da criminali che, fingendosi un'organizzazione affidabile (una banca, un social network, un fornitore di servizi), invia messaggi ingannevoli per indurre il destinatario a rivelare informazioni sensibili come password, numeri di carta di credito, dati personali o credenziali di accesso. Il meccanismo è semplice ma efficace: sfrutta la fiducia e la scarsa attenzione di chi riceve il messaggio.

I meccanismi di base del phishing

Un attacco di phishing si articola in fasi precise. Il criminale inizia creando un messaggio, solitamente un'email o un SMS, che copia l'aspetto di una comunicazione autentica da un'azienda conosciuta. Il contenuto del messaggio è costruito per creare urgenza: avverte di un problema con l'account, richiede una verifica immediata, promette un premio o minaccia il blocco del servizio. Tutto è falso, ma descritto con un tono credibile.

Nel messaggio è inserito un collegamento (un link) che sembra rimandare al sito ufficiale dell'azienda, ma in realtà porta a una pagina web falsa creata dal truffatore. Questa pagina è una copia quasi perfetta del sito legittimo: stessi loghi, stessi colori, stesso layout. Quando l'utente vi accede e inserisce i propri dati, li sta in realtà consegnando ai criminali.

Un'alternativa al collegamento è l'allegato. Il messaggio chiede di aprire un file allegato, spesso un documento o un foglio di calcolo. L'allegato contiene codice dannoso (malware) che, una volta eseguito, installa un programma sul dispositivo che ruba dati o consente ai criminali di controllare il computer.

I tipi principali di phishing

Il phishing si manifesta in diverse forme, adattandosi ai canali di comunicazione e ai bersagli.

• Phishing via email: il metodo classico e ancora il più diffuso. I criminali inviano migliaia di email generiche fingendosi banche o servizi noti, nella speranza che qualche destinatario cada nella trappola.
• Spear phishing: un attacco più mirato e sofisticato. I criminali ricercano informazioni specifiche sulla vittima (nome, azienda dove lavora, contatti) e personalizzano il messaggio per renderlo ancora più credibile.
• Phishing via SMS: messaggi di testo brevi che richiedono un'azione urgente, come confermmare dati o cliccare un link. Sono particolarmente insidiosi perché gli SMS ispirati meno sospetto rispetto alle email.
• Phishing su social network: messaggi privati o post che imitano comunicazioni ufficiali di piattaforme come servizi di pagamento o account di aziende.
• Vishing: phishing condotto via telefono. Un criminale chiama fingendosi un operatore bancario o di un servizio e induce la vittima a rivelare dati sensibili attraverso una conversazione.

Perché il phishing funziona

Il phishing riesce perché sfrutta fattori psicologici fondamentali. In primo luogo, crea urgenza: "Il tuo account sarà disattivato", "Verifica subito", "Offerta a tempo limitato". Chi riceve il messaggio reagisce d'istinto, senza riflettere.

In secondo luogo, imita l'autenticità. Copiare un logo, usare lo stesso linguaggio di un'azienda nota e creare una pagina che sembra genuine richiede poco sforzo tecnico, ma produce un effetto enormemente credibile.

In terzo luogo, il phishing fa leva sulla fiducia. Un messaggio che sembra venire da una banca o da un servizio affidato fa abbassare la guardia. La maggior parte di noi non dubitiamo delle comunicazioni dai nostri istituti bancari.

Infine, i numeri sono a favore dei criminali. Anche se solo l'un per cento di chi riceve un'email di phishing cade nella trappola, se ne inviano centomila al giorno, il risultato è comunque profittevole.

Come proteggere il proprio dispositivo e i propri dati

Riconoscere e evitare il phishing è possibile acquisendo alcune abitudini semplici ma decisive.

• Verificare l'indirizzo del mittente: controllare attentamente l'email del mittente. Un'email autentica di una banca non proviene da un indirizzo generico o sospetto.
• Non cliccare link direttamente dal messaggio: se il messaggio ti dice di verificare il tuo account, aprire il browser e accedere direttamente al sito dell'azienda (digitando l'indirizzo manualmente), piuttosto che cliccare il link nel messaggio.
• Controllare l'URL prima di inserire dati: passare il mouse sopra il collegamento per vederne la destinazione reale, oppure osservare con attenzione la barra degli indirizzi quando si accede a una pagina. Un URL falso può contenere variazioni minime ma significative (banca-it.com invece di banca.it).
• Diffidare dai messaggi inaspettati: un'azienda nota non chiede mai dati sensibili via email o SMS. Se ricevi un messaggio inaspettato che richiede password o numeri di carta, è quasi certamente phishing.
• Usare l'autenticazione a due fattori: quando disponibile, attivare il secondo livello di verifica per l'accesso ai propri account. Anche se un criminale ruba la password, non potrà accedere senza il codice di verifica.
• Aggiornare il software: mantenere il sistema operativo, il browser e gli antivirus aggiornati. Gli aggiornamenti includono protezioni contro le minacce nuove.
• Non aprire allegati sospetti: se un messaggio arriva da un mittente sconosciuto o il contenuto è strano, non aprire gli allegati.

Cosa fare se si è vittime di phishing

Se hai inserito dati sensibili su un sito di phishing o hai cliccato un collegamento sospetto, agire rapidamente è essenziale.

Primo: cambiare immediatamente la password dell'account interessato, da un dispositivo diverso e con una connessione diversa (ad esempio, il cellulare se stavi usando il computer).

Secondo: contattare direttamente l'azienda (banca, servizio, ecc.) attraverso il numero di telefono o il sito ufficiale per segnalare l'accaduto.

Terzo: monitorare il conto bancario e le carte di credito per transazioni sospette. Se noti movimenti non autorizzati, segnalarli immediatamente alla banca.

Quarto: segnalare il phishing alle autorità competenti. In Italia, è possibile inoltrarla una segnalazione alle forze dell'ordine o alla Polizia Postale.

Domande frequenti

Qual è la differenza tra phishing e spam?

Lo spam è posta non richiesta, solitamente commerciale, inviata in massa senza una vittima specifica. Il phishing è un attacco mirato a rubare dati o credenziali, costruito in modo ingannevole per sembrare autentico. Non tutto lo spam è phishing, e il phishing è sempre criminale.

Come faccio a sapere se un'email è autentica?

Controlla l'indirizzo email completo del mittente, non solo il nome visualizzato. Guarda se l'URL del collegamento corrisponde al sito ufficiale dell'azienda. Un'azienda legittima non chiede mai password via email. Se sei in dubbio, contatta l'azienda direttamente tramite il numero di telefono che conosci.

Se noto phishing, dove lo segnalo?

La maggior parte dei servizi online ha un'opzione per segnalare email sospette (un pulsante "Segnala phishing" nel client di posta). È possibile inoltrare una segnalazione anche alle forze dell'ordine attraverso il sito della Polizia Postale, oppure ai provider del servizio (banca, social network, ecc.).