Cos'è il phishing e come difendersi
Cos'è il phishing spiegato semplice: come funziona questa truffa, i segnali per riconoscerlo, i tipi più comuni e come difendersi tu e la tua azienda.
Il phishing è una delle minacce informatiche più diffuse e pericolose, proprio perché non attacca i computer ma le persone, sfruttando la fiducia e la disattenzione. Chiunque usi email o messaggi è un potenziale bersaglio. In questo articolo ti spiego cos'è il phishing, come riconoscerlo e come difenderti.
Cos'è il phishing in parole semplici
Il phishing è una tecnica di truffa in cui un malintenzionato si finge un'entità affidabile (una banca, un servizio, un collega) per indurti a rivelare dati sensibili o a compiere azioni dannose, come comunicare password, dati della carta o cliccare link infetti.
Il nome richiama "fishing" (pescare): il truffatore lancia un'esca (un messaggio credibile) sperando che qualcuno abbocchi. È un attacco di ingegneria sociale: non sfrutta falle tecniche, ma la psicologia umana.
Come funziona un attacco di phishing
Lo schema tipico:
- Ricevi un messaggio (email, SMS, chat) che sembra provenire da una fonte affidabile.
- Il messaggio crea urgenza o paura ("il tuo account sarà bloccato!", "pagamento rifiutato!").
- Ti chiede di cliccare un link o fornire dati.
- Il link porta a un sito falso che imita quello vero (è una forma di spoofing).
- Se inserisci i tuoi dati, finiscono nelle mani del truffatore.
La leva psicologica è quasi sempre l'urgenza: ti spingono ad agire in fretta, senza riflettere.
Come riconoscere il phishing
I segnali d'allarme da tenere d'occhio:
- Urgenza sospetta: minacce di blocco, scadenze immediate, allarmi.
- Mittente strano: indirizzo email leggermente diverso da quello reale.
- Link ingannevoli: l'indirizzo reale (che vedi passandoci sopra) non corrisponde a quello atteso.
- Errori di lingua: grammatica e ortografia approssimative (anche se il phishing migliora con l'AI).
- Richieste anomale: un servizio serio non ti chiede password o dati sensibili via email.
- Allegati inattesi: file che non ti aspettavi, da aprire con grande cautela.
I tipi di phishing
Il phishing ha diverse varianti:
| Tipo | Come avviene |
|---|---|
| Phishing via email | Il più classico, email fraudolente di massa |
| Spear phishing | Mirato a una persona specifica, personalizzato |
| Smishing | Via SMS |
| Vishing | Via telefonata vocale |
| Phishing aziendale (BEC) | Finge dirigenti per ingannare i dipendenti |
Lo spear phishing e il phishing aziendale sono particolarmente insidiosi perché personalizzati e credibili.
Come difendersi
Le difese più efficaci:
- Diffida dell'urgenza: fermati e rifletti prima di agire. È la difesa numero uno.
- Verifica il mittente e i link prima di cliccare.
- Non fornire mai dati sensibili via email o messaggio.
- Usa l'autenticazione a due fattori: anche se rubano la password, non bastano a entrare.
- Accedi direttamente ai siti digitando l'indirizzo, non tramite i link nei messaggi.
- Mantieni software aggiornato e usa filtri antispam.
Difendere un'azienda
Per le aziende, il phishing è una minaccia seria, spesso la porta d'ingresso di attacchi più gravi. Oltre alle difese individuali, servono: formazione delle persone (l'anello debole è quasi sempre umano), protezioni email avanzate e configurazioni come SPF, DKIM e DMARC per ridurre lo spoofing del proprio dominio. È parte di una strategia di sicurezza complessiva, di cui mi occupo nei servizi.
In sintesi
Il phishing è una truffa di ingegneria sociale in cui un malintenzionato si finge un'entità affidabile per farti rivelare dati sensibili o compiere azioni dannose, sfruttando soprattutto l'urgenza. Si riconosce da mittenti sospetti, link ingannevoli, richieste anomale e toni allarmistici. Ci si difende diffidando dell'urgenza, verificando mittenti e link, non fornendo mai dati sensibili e usando la 2FA. Per le aziende, servono anche formazione e configurazioni email come SPF, DKIM e DMARC.
Per approfondire, vedi cos'è lo spoofing e cos'è la cybersecurity.