“Il criminale informatico ha imparato a scrivere senza errori.“
Che cos’è il phishing?
Il phishing è una delle tecniche di attacco informatico nell’ambito dell’ingegneria sociale, di cui abbiamo parlato nel TIP della scorsa settimana. Il termine “Phishing” deriva dall’inglese “fishing” (pescare) e si riferisce sempre alla cattura di dati e informazioni attraverso l’uso della posta elettronica per commettere questo crimine informatico.
Pertanto, utilizzando questa tecnica, il criminale informatico invierà casualmente comunicazioni e-mail false o truffaldine a diversi utenti, professionisti e privati. In queste comunicazioni è molto comune impersonare un contatto fidato, sia esso una persona vicina (capo, parente, amico) o un’entità importante (banca, amministrazione pubblica, compagnia assicurativa).
Può anche trattarsi di una falsa verifica del login sulle piattaforme (ad esempio, Amazon, Facebook, Netflix, ecc.) o di richieste di modifica della password. In questo modo si garantisce che l’utente che riceve l’e-mail non sospetti che sia falsa e commetta un errore come scaricare un file, cliccare su un link, fornire dati o accedere tramite un sito web falso (“Pharming”, ne parleremo in seguito in una specifica TIP).
Questo a sua volta può portare all’installazione mascherata di un virus o di un malware, cioè di un software dannoso che danneggia il computer e le informazioni, o alla raccolta di contatti, password e qualsiasi altro dato a cui il criminale informatico voglia accedere.
Come possiamo evitarlo?
- La regola d’oro resta quella di diffidare di qualsiasi comunicazione insolita e di “controllare due volte”. Per saperlo con certezza, dovremmo contattare il presunto mittente (il nostro capo, un parente, una banca, ecc.) con altri mezzi ufficiali, per chiedere se la posta ricevuta è reale.
- Non eseguite nessuna delle operazioni sopra descritte prima di aver verificato quanto sopra. Ciò significa non scaricare file o immagini, non cliccare sui link e certamente non inserire dati personali o password nei siti web collegati.
- Possiamo controllare i link senza cliccarci sopra ed evitare così di inserire dati in un sito web falso. Questo può essere fatto spostando il mouse sul link, come si suol dire, senza fare clic direttamente. In questo modo, vedrete apparire un messaggio con il nome originale del sito web a cui il link reindirizza e potrete verificare se si tratta di un sito ufficiale o di un sito fraudolento.
- Se avete dei sospetti sul contenuto di una comunicazione, non rispondete all’e-mail. Questo potrebbe allertare il criminale informatico che potrebbe utilizzare mezzi alternativi per ingannarci di nuovo (come il Vishing, telefonate fraudolente o lo Smishing, falsi messaggi di testo o Whatsapp).
- Non omettetelo o cancellatelo semplicemente. Se abbiamo controllato quanto sopra e in uno qualsiasi dei punti abbiamo rilevato la falsità della comunicazione, non dobbiamo semplicemente cancellarla. Dobbiamo notificare questo incidente al team di supporto informatico al lavoro, e a livello personale al fornitore tecnologico del servizio di posta elettronica (Microsoft, Google, ecc.), in modo che possano analizzarlo, risolverlo e che possiamo continuare a utilizzare questo servizio in modo sicuro, sia per noi stessi che per gli altri utenti.
NOTA IMPORTANTE: Anche in questo caso, se hai il minimo sospetto di aver subito un attacco informatico, segnalalo al tuo reparto IT, in modo che possa consigliarti in modo appropriato. A livello personale, consulta le informazioni disponibili su internet, chiedi agli esperti o contatta i team di supporto dei programmi e delle applicazioni.
*Datadi spedizione: 24 novembre 2025