Site icon Panda Security Mediacenter

Phishing: vediamo un caso reale

Phishing: vediamo un caso reale

Phishing: vediamo un caso reale

Analizziamo insieme un’email truffa per imparare a riconoscerle e difenderci.

Nel corso degli anni, abbiamo scritto molti post sul phishing, dato che è la minaccia numero 1 online sia per i singoli utenti sia per le aziende. Oggi vogliamo condividere le immagini di un’email di phishing reale, che abbiamo ricevuto circa un mese fa e che illustra alla perfezione le caratteristiche di questi messaggi fraudolenti.

In questo post vediamo un caso reale di phishing, descriviamo gli aspetti che consentono di riconoscerlo e condividiamo dei consigli pratici per difenderti. Continua a leggere!

Caso reale di email di phishing

Qualche settimana fa, abbiamo ricevuto questo messaggio:

Come potete vedere, il messaggio è stato contrassegnato da Gmail come possibile spam (ma non direttamente come phishing). All’inizio, però, l’abbiamo visualizzato in un programma di posta elettronica il cui filtro non aveva riconosciuto questa email come fraudolenta. Ecco perché è importante fare molta attenzione: i filtri non sono infallibili e basta un clic sul messaggio sbagliato per subire grossi danni e perdite economiche.

Di seguito, analizzeremo il messaggio per imparare a riconoscere i campanelli d’allarme, poi vedremo come funziona l’attacco di phishing che utilizza questo messaggio (e che rappresenta uno dei metodi più diffusi) e infine vedremo cosa fare quando riceviamo un’email come questa e come proteggerci.


Le prime cose da guardare in un messaggio sospetto sono eventuali errori ortografici, indirizzi strani e incongruenze tra link, testo e immagini.


Come riconoscere il phishing

Questo messaggio ci è sembrato perfetto per spiegare in modo pratico cos’è il phishing, in quanto presenta quasi tutte le caratteristiche tipiche:

Come funziona questo messaggio di phishing

Il phishing (che in inglese significa pescare) è un tipo di attacco informatico il cui obiettivo è invogliare le persone a fare clic su link e allegati infetti per rubare i loro dati personali, tra cui i dati di login a siti critici, come la banca online o i social media.

Per riuscirci, i phisher fingono di essere un’azienda legittima, come le Poste Italiane nel caso della nostra email. Poi creano un messaggio o un sito simile a quello dell’azienda per cui si spacciano e contattano migliaia di persone contemporaneamente, grazie ai database di email che si trovano nel dark web.

I messaggi devono convincere la vittima a fare clic su un link e poi inserire dati personali, ma spesso sono fatti male e contengono molti errori, come abbiamo visto poco sopra. Per questo, la priorità numero 1 dei phisher è bloccare la capacità di analisi delle vittime, facendo in modo che agiscano prima di riflettere.

A questo scopo, fanno leva su emozioni di base, come la paura di conseguenze negative o, come nel nostro caso, sulla curiosità e la possibilità di un guadagno facile. In questo modo, l’emozione primaria porta il destinatario a fare clic prima che suonino i campanelli d’allarme.

Una volta fatto clic sul link fraudolento, la vittima viene indirizzata sul sito di phishing, che tramite altri testi ingannevoli chiederà all’utente di inserire i suoi dati di login, che invece verranno inviati al criminale informatico. Questi li userà per accedere all’account della vittima e realizzare operazioni finanziare a suo favore.

IMPORTANTE: l’autenticazione a 2 fattori riduce moltissimo l’efficacia di questi attacchi, ma non è infallibile. I phisher più sofisticati possono intercettare le comunicazioni sul telefono o sul notebook della vittima e rubare anche il codice monouso o altri dati di autenticazione. Tuttavia, queste tecniche più avanzate vengono utilizzate dai cybercriminali quando attaccano persone influenti o molto ricche, che hanno preso di mira personalmente e non durante gli attacchi di massa.

LEGGI ANCHE: Spear phishing, cos’è e come difendersi

Cosa fare quando ricevi un messaggio di phishing

Se ricevi un messaggio come quello dei nostri screenshot, ecco cosa devi fare:

  1. Segnalalo come phishing nell’app di email o sul sito che utilizzi per leggere le email.
  2. Blocca il mittente. In futuro, potresti ricevere altri messaggi fraudolenti dallo stesso criminale, ma se userà un dominio o un indirizzo simile, i filtri delle email lo riconosceranno.
  3. Invia una segnalazione alla polizia postale (seleziona Phishing nel menu a discesa dell’Argomento).
  4. Segnala l’email all’azienda di cui il phisher ha sfruttato l’identità, così potranno informare i clienti e prevenire altri attacchi.
  5. Non fare clic su link o allegati sospetti.
  6. Cancella il messaggio.
  7. Valuta la possibilità di cambiare indirizzo email. Se non puoi perché hai molti contatti o lo usi per lavoro, per sicurezza potresti cambiare la password e andare su Have I been Pwned per controllare se le tue credenziali sono state compromesse durante un data breach (molto probabilmente sì).

Queste sono le prime cose da fare quando ricevi un’email o un SMS di phishing. Ognuna di queste azioni ha l’obiettivo di arginare l’attacco e consentire alle autorità e all’azienda interessata di difendere le altre persone.


Il phishing sfrutta la paura o la curiosità delle persone per bloccare le loro capacità critiche e convincerle a fare clic senza esaminare il messaggio.


Come difendersi dal phishing

Oltre alle cose che abbiamo appena detto, da fare quando ricevi un messaggio fraudolento, ci sono dei comportamenti sicuri da attuare che ti aiuteranno a non subire truffe online:

In questo post abbiamo visto un’email di phishing reale, che sembra provenire dalle Poste Italiane e cerca di invogliare le vittime a fare clic su un link. Questi messaggi fraudolenti contengono spesso molti errori, ma con l’avvento dell’AI generativa (come ChatGPT), anche i cybercriminali stanno imparando a confezionare messaggi di phishing più credibili.

Per questo motivo è importante fare ancora più attenzione ai messaggi “urgenti” che riceviamo e utilizzare sempre un buon antivirus.

CONTINUA A LEGGERE: Nuovo sondaggio, il 50% degli italiani non sa riconoscere una fake news

Buona navigazione e buona protezione attiva dal phishing!

Exit mobile version