Torni a casa dopo il lavoro, apri la posta e vedi un messaggio della tua banca: “Abbiamo rilevato un accesso sospetto al tuo conto. Verifica la tua identità cliccando qui”. Il logo sembra corretto, il tono è serio e ti chiedono di agire in fretta. Il cuore ti salta un battito. È vero? Ti hanno rubato il conto? Cosa fai?
Se ti sembra familiare, non sei solo. Le email fraudolente, note anche come phishing, sono tra le truffe più comuni su internet. E no, non serve essere un esperto di cybersecurity per imparare a riconoscerle.
Cosa sono le email fraudolente e come funzionano
Un’email fraudolenta è un messaggio che sembra provenire da un’entità legittima (una banca, un’azienda di spedizioni, un social network) ma in realtà cerca di ingannarti per farti fare qualcosa: cliccare un link, scaricare un file o rispondere con informazioni personali.
L’obiettivo può essere rubarti la password, infettare il computer con un virus o rubare la tua identità per accedere ai tuoi conti.
Queste email non le invia una persona reale dietro una tastiera. Sono campagne automatizzate che lanciano migliaia di messaggi sperando che qualcuno cada nella trappola. Non va contro di te personalmente, ma se ci caschi, le conseguenze possono essere serie.
La prima cosa da sapere è che nessuna azienda seria ti chiederà dati personali o password via email. Se una banca, un negozio online o un social network te li chiede per email, è falso. Sempre.
Tipi di phishing che dovresti conoscere
Non tutti gli attacchi sono uguali. Conoscere le varianti ti aiuta a essere più preparato:
Phishing di massa. È il più comune. Gli attaccanti inviano migliaia di email identiche spacciandosi per banche, grandi aziende o servizi popolari. Il messaggio è generico e cerca di pescare il maggior numero possibile di vittime.
Spear phishing. Qui l’attacco è mirato a una persona specifica. Il truffatore indaga sulla vittima (tramite social network, LinkedIn, siti professionali) e personalizza il messaggio con dati reali. È più pericoloso perché l’email sembra legittima.
Smishing e vishing. Lo smishing arriva via SMS, il vishing via telefonata. Il meccanismo è lo stesso: si spacciano per un ente e ti chiedono informazioni urgenti. Se qualcuno ti chiama dicendo di essere la tua banca e ti chiede codici di sicurezza, riattacca e chiama tu direttamente il numero ufficiale.
Clone phishing. L’attaccante copia un’email legittima che hai ricevuto in precedenza, modifica il link o l’allegato, e te la rinvia come se fosse un aggiornamento dell’originale. Per questo, anche se un’email sembra una risposta a qualcosa che stavi già gestendo, verifica sempre il mittente.
Segnali d’allarme per riconoscere un’email falsa
Imparare a riconoscere un’email fraudolenta è come imparare a riconoscere le banconote false: una volta che sai cosa cercare, lo vedi in pochi secondi. Questi sono i segnali più comuni.
L’indirizzo del mittente non coincide
Il nome che vedi nella posta in arrivo può essere “Banca Intesa” o “Amazon”, ma se clicchi sul nome del mittente per vedere l’indirizzo reale, scopri che è qualcosa come assistenza.bancaBoh@gmail.com o no-reply@azienda-sicurezza.xyz.
Le aziende vere usano domini propri. Se il dominio dopo la chiocciola non termina con il nome ufficiale dell’azienda, diffida.
Il saluto è generico
Le email legittime di solito si rivolgono a te per nome. Se il messaggio inizia con “Gentile cliente”, “Gentile utente” o “A chi di dovere”, è sospetto. Le aziende hanno i tuoi dati e li usano quando comunicano con te.
Il messaggio crea urgenza o paura
“Il tuo account verrà chiuso entro 24 ore”, “Abbiamo rilevato un addebito non autorizzato”, “Devi aggiornare i tuoi dati immediatamente”. I truffatori giocano con le tue emozioni per farti agire senza pensare.
Se un’email ti trasmette urgenza, fermati, respira ed esaminala con calma prima di cliccare qualsiasi cosa.
Il link non porta dove dice
Prima di cliccare un link, passa il mouse sopra senza premere. Vedrai un’anteprima dell’indirizzo reale nell’angolo inferiore del browser o in una finestrella.
Se il testo del link dice https:\\www.bancaBoh.it ma l’indirizzo reale è qualcosa come http:\\bancaiBoh.verifica-sicurezza.xyz, è phishing.
Gli URL fraudolenti hanno spesso errori ortografici (intesa con una lettera cambiata), domini strani (.xyz, .tk, .club) o protocolli insicuri (http invece di https).
Allegati inaspettati
Se un’email che non aspettavi include un allegato (una fattura, un PDF, uno ZIP), non aprirlo. Gli allegati sono uno dei metodi più comuni per distribuire virus e ransomware.
Errori di ortografia e grafica
Molte email fraudolente contengono errori di ortografia, traduzioni automatiche fatte male o grafica che non corrisponde all’immagine dell’azienda. Non sempre è così (ce ne sono di molto ben fatti), ma quando lo vedi, è un segnale chiaro.
Cosa fare se ricevi un’email sospetta
Se hai identificato un’email fraudolenta, ecco cosa devi fare, passo dopo passo.
Non cliccare nulla
Non cliccare link, non scaricare file, non rispondere al messaggio. Qualsiasi interazione con l’email conferma al truffatore che il tuo indirizzo è attivo.
Non inserire dati
Se hai già cliccato e la pagina ti chiede utente, password, numero di carta o qualsiasi dato personale, non inserirli. Chiudi la scheda immediatamente.
Segnala l’email come spam
La maggior parte dei gestori di posta (Gmail, Outlook, Yahoo) hanno un pulsante per segnalare messaggi come spam o phishing. Usarlo aiuta il sistema a proteggere altri utenti.
Denuncia la truffa alle autorità
In Italia puoi segnalare l’email sospetta a CSIRT Italia, il team per la sicurezza informatica dell’Agenzia per la Cybersicurezza Nazionale. In Spagna, l’ente competente è Incibe. Queste organizzazioni analizzano le minacce e emettono allerte.
Se hai già cliccato, agisci in fretta
Se hai inserito la tua password in un sito falso, cambiala immediatamente sul sito ufficiale del servizio coinvolto. Se hai dato il numero della carta, contatta la tua banca per bloccarla. Se hai scaricato un file sospetto, esegui una scansione antivirus completa sul computer.
Come proteggerti prima che arrivi un’email falsa
La prevenzione è la migliore difesa. Queste pratiche riducono drasticamente il rischio di cadere in un’email fraudolenta.
Usa un gestore di password
Un gestore di password come 1Password non solo salva le tue chiavi in modo sicuro, ma le inserisce automaticamente nei siti web. La sua funzione più importante contro il phishing è che inserisce la password solo se l’indirizzo web corrisponde esattamente a quello salvato. Se finisci in un sito falso, il gestore non compilerà nulla, ed è il tuo segnale d’allarme.
Attiva la verifica in due passaggi
La maggior parte dei servizi importanti (Google, Microsoft, social network, banche) offrono la verifica in due passaggi. Anche se ti rubano la password, senza il secondo fattore (un codice che arriva al telefono o a un’app) non possono accedere al tuo account.
Attivala su tutti i servizi che lo permettono. È il passo più efficace che puoi fare per proteggere i tuoi account.
Mantieni computer e telefono aggiornati
Gli aggiornamenti di sicurezza correggono vulnerabilità che gli attaccanti potrebbero usare per infettare il tuo dispositivo. Attiva gli aggiornamenti automatici sul sistema operativo e sulle applicazioni.
Non usare la stessa password su più siti
Se usi la stessa chiave per la banca e per un negozio online, e quel negozio subisce una violazione, gli attaccanti proveranno quella password sulla tua banca. Un gestore di password ti aiuta ad avere chiavi uniche e complesse per ogni servizio.
Configura i filtri antispam
Il tuo fornitore di posta filtra già molte email fraudolente automaticamente, ma puoi aiutarlo segnalando come spam quelle che gli sfuggono. Più usi questa funzione, meglio il sistema impara.
Strumenti di sicurezza che rafforzano la tua protezione
Oltre alle buone pratiche, esistono strumenti che aggiungono un livello extra di sicurezza. Tutti hanno versioni gratuite sufficienti per un uso domestico.
Antivirus. Programmi come Kaspersky e Malwarebytes analizzano i file che scarichi e ti avvisano se qualcosa è pericoloso. Proteggono anche il browser bloccando i siti web fraudolenti prima che si carichino.
Estensioni del browser. Molte estensioni gratuite controllano automaticamente la reputazione dei link mentre navighi. Se una pagina è nota per essere fraudolenta, l’estensione ti avviserà prima che inserisca qualsiasi dato.
Gestori di password. Lo abbiamo già detto prima, ma merita ripeterlo: un gestore di password è la tua migliore difesa contro il phishing. Se non sai da quale iniziare, 1Password è un’opzione solida con versioni per privati e famiglie.
Domande frequenti sulle email fraudolente
Cosa faccio se ho già cliccato un link ma non ho inserito dati?
Cambia la password del servizio a cui pensavi di accedere, anche se non hai inserito nulla. Alcuni attacchi possono tentare di installare software senza che tu te ne accorga. Esegui una scansione antivirus completa come misura precauzionale.
Le email fraudolente arrivano solo per posta?
No. Arrivano anche via SMS (si chiama smishing), via WhatsApp, via social network e telefonate (vishing). Valgono le stesse regole: non dare dati personali, non cliccare link sospetti, verifica sempre la fonte.
Posso fidarmi di un’email se contiene il mio nome vero?
Non necessariamente. I truffatori possono aver ottenuto il tuo nome da una violazione di dati o da informazioni pubbliche sui social network. Che l’email ti chiami per nome non significa che sia legittima.
Le grandi aziende come Amazon o Netflix inviano email chiedendo dati?
No. Nessuna azienda seria ti chiede password, numeri di carta o dati bancari via email. Se ne ricevi una, è falsa, anche se la grafica è perfetta.
È sicuro usare il pulsante “Cancella iscrizione” in fondo a queste email?
No. Cliccare “Cancella iscrizione” o qualsiasi link dentro un’email fraudolenta conferma al truffatore che il tuo indirizzo è attivo. È meglio segnalarla come spam direttamente senza interagire.
Gli antivirus gratuiti proteggono dal phishing?
Sì, molti antivirus gratuiti includono protezione contro il phishing e i siti web fraudolenti. Non serve pagare per avere una protezione di base efficace.
Devo preoccuparmi se l’email fraudolenta arriva da un contatto conosciuto?
Sì. Se un amico o familiare ti invia un link sospetto, è possibile che gli abbiano rubato l’account. Non dare per scontato che sia sicuro solo perché conosci la persona. Scrivilo su un altro canale (WhatsApp, telefono) per confermare che te lo abbia davvero inviato lui.
Le truffe di phishing hanno come unico obiettivo il denaro?
Non sempre. Alcuni attacchi cercano di installare ransomware (programmi che sequestrano i tuoi file e chiedono un riscatto), altri vogliono rubare le tue credenziali per accedere a servizi dove lavori e da lì lanciare attacchi più grandi. C’è anche chi cerca le tue informazioni personali per venderle sul dark web. Per questo è importante proteggere i tuoi dati anche se non hai soldi in gioco.
Fidati del tuo istinto e agisci con calma
Il miglior strumento contro il phishing non è un programma di sicurezza né una lista infinita di regole. È il tuo giudizio. Se un’email ti sembra strana, probabilmente lo è. Non lasciare che l’urgenza o la paura ti spingano ad agire senza pensare.
Fermati, esamina il mittente, passa il mouse sopra i link, chiediti se il messaggio ha senso. In quei secondi di dubbio, puoi evitare un problema che ti porterebbe via ore o giorni risolvere.
Condividi quello che hai imparato con le persone intorno a te. I tuoi genitori, i tuoi nonni, i tuoi colleghi che non hanno familiarità con la tecnologia sono i più vulnerabili a questo tipo di truffe. Una conversazione di cinque minuti può risparmiare loro un dispiacere.
E ricorda: nessuna azienda seria ti chiederà dati personali via email. Se lo fa, è falso. Non serve essere un esperto di cybersecurity per saperlo.