Il phishing si è fatto furbo (e sa già come ti chiami)
C’era un tempo in cui riconoscere una email truffaldina era quasi facile. Arrivava un messaggio con la grafica storta, scritto in un italiano approssimativo, che ti informava di aver vinto un milione di euro o di essere l’erede di un principe nigeriano. Bastava leggerlo per capire che qualcosa non tornava.
Oggi non funziona più così.
Cos’è il phishing, per chi non lo sapesse ancora
Il termine viene dall’inglese “fishing“, pesca: qualcuno lancia un amo e aspetta che qualcuno abbocchi. Nel mondo digitale, l’amo è una email (o un SMS, o un messaggio WhatsApp) costruita per sembrare autentica, con l’obiettivo di farti cliccare su un link, inserire le tue credenziali o scaricare qualcosa che non dovresti.
Non è una novità. È una novità, invece, il livello di sofisticazione che hanno raggiunto questi attacchi negli ultimi anni.
Come si presentano oggi
Qualche esempio reale, del tipo che capita ai miei clienti.
Arriva una email dall’Agenzia delle Entrate: grafica ufficiale, logo corretto, tono formale. Ti informa che hai un rimborso in sospeso e che devi cliccare per accedere al portale. Il link porta a una pagina identica a quella vera, ma è una copia. Inserisci le credenziali e le consegni direttamente a chi ha costruito la trappola.
Oppure: una email dalla tua banca, con il tuo nome e cognome nell’intestazione, che ti avvisa di un accesso sospetto al conto. L’urgenza è costruita apposta: “verifica entro 24 ore o il conto verrà sospeso”. Il panico fa il resto.
O ancora: un SMS da parte di un corriere, con un link per “sbloccare la consegna” di un pacco che non ricordi di aspettare. Ma magari hai ordinato qualcosa la settimana prima e il dubbio si insinua.
Perché è diventato così difficile da riconoscere
Tre ragioni principali.
La prima è che i truffatori usano strumenti professionali, inclusa l’intelligenza artificiale, per costruire messaggi grammaticalmente perfetti, graficamente curati e culturalmente appropriati alla lingua e al paese del destinatario. L’italiano storto è quasi scomparso.
La seconda è la personalizzazione: spesso sanno già qualcosa di te. Il tuo nome, la tua banca, il tuo operatore telefonico, a volte anche il tuo indirizzo. Queste informazioni circolano nelle basi di dati trafugate negli anni, disponibili a chiunque voglia comprarle.
La terza, forse la più insidiosa, è l’urgenza. I messaggi di phishing sono costruiti per farti agire in fretta, senza pensare. “Verifica subito”, “accedi entro oggi”, “il tuo account è a rischio”. L’obiettivo è cortocircuitare il ragionamento.
Come difendersi: qualche regola pratica
Non esiste un sistema infallibile, ma ci sono abitudini che riducono molto il rischio.
La prima: non cliccare mai sui link nelle email. Se la tua banca ti scrive, apri il sito della banca digitando tu l’indirizzo nel browser, oppure usa l’app ufficiale. Lo stesso vale per l’Agenzia delle Entrate, Poste Italiane, qualsiasi ente o istituto.
La seconda: guarda l’indirizzo del mittente per intero. Non il nome visualizzato (“Agenzia delle Entrate”) ma l’indirizzo reale, che spesso è qualcosa come noreply@agenzia-rimborsi.com oppure supporto@bancaintesq.it. Un carattere fuori posto, un dominio strano: è già un segnale. Dal cellulare è molto difficile farlo, dal computer è molto più agevole: qui entra in campo la regola numero 3.
La terza: l’urgenza è quasi sempre un segnale d’allarme. Un ente serio non ti dà 24 ore per verificare il tuo conto pena la sospensione. Se un messaggio ti mette fretta, fermati.
La quarta: se hai dubbi, chiedi. Chiama la tua banca al numero sul retro della carta, non a quello che compare nel messaggio. Scrivi a me, se vuoi un secondo parere. Meglio perdere cinque minuti che trovarsi con le credenziali compromesse.
Una cosa che aiuta molto: l’autenticazione a due fattori
Ne parlerò presto in un prossimo articolo: anche se qualcuno riesce a sottrarti la password tramite phishing, con l’autenticazione a due fattori attiva non può accedere al tuo account senza il secondo passaggio, che arriva sul tuo telefono. Non è una protezione assoluta, ma riduce moltissimo il danno.
In sintesi
Il phishing non è più la truffa rozza di vent’anni fa. È diventato preciso, personalizzato e psicologicamente sofisticato. La difesa non è tecnica: è comportamentale. Rallentare, non cliccare, verificare dall’esterno. Tre abitudini che, una volta acquisite, diventano automatiche.
Questo articolo fa parte di una serie sulla sicurezza digitale per chi usa il computer nella vita professionale senza essere un esperto. Se hai ricevuto una email sospetta e non sai come valutarla, puoi scrivermi: ci vogliono due minuti.