Il phishing resta la tecnica più efficace per rubare credenziali, dati bancari o accesso ad account aziendali, non perché sia sofisticato, ma perché sfrutta la fretta e l'abitudine. La buona notizia è che quasi ogni tentativo lascia tracce riconoscibili, se si sa dove guardare. Bastano tre controlli sistematici: mittente, link, tono del messaggio.
Primo controllo: il mittente reale, non quello visualizzato
I client di posta mostrano un nome "amichevole" (es. "Assistenza PayPal") che non ha nessun legame garantito con l'indirizzo effettivo. Bisogna sempre far comparire l'indirizzo completo, non fermarsi al nome mostrato.
- Su desktop: passa il mouse sul nome del mittente senza cliccare, oppure clicca per espandere i dettagli del messaggio.
- Su smartphone: tocca il nome del mittente, si apre il dettaglio con l'indirizzo completo.
- Controlla il dominio dopo la chiocciola: supporto@paypa1-security.com non è PayPal, anche se il testo del messaggio è identico all'originale.
- Attenzione ai domini "cugini": lettere sostituite con simboli simili (rn al posto di m, 1 al posto di l), sottodomini ingannevoli (paypal.sicurezza-login.com, dove il dominio vero è "sicurezza-login.com"), o TLD anomali (.info, .top, .xyz per servizi che normalmente usano .com o .it).
Secondo controllo: dove porta davvero il link
Il testo di un link non garantisce nulla: può scrivere "www.poste.it" e puntare altrove. Prima di cliccare, va sempre verificata la destinazione reale.
- Su computer, passa il mouse sul link senza cliccare: l'URL reale compare in basso a sinistra nel browser o nel client di posta.
- Su smartphone, tieni premuto sul link (senza rilasciare) per far comparire un'anteprima dell'indirizzo, poi annulla.
- Confronta dominio per dominio: conta solo la parte immediatamente prima del TLD (es. in "login.sicurezza.miobanca-supporto.com" il dominio reale è "miobanca-supporto.com", non "miobanca").
- Diffida di URL accorciati (bit.ly, tinyurl) in email non richieste: nascondono la destinazione reale. Puoi espanderli con servizi come "unshorten.it" prima di aprirli.
- Se il messaggio chiede di inserire una password, apri il servizio digitando tu stesso l'indirizzo nel browser (o usando un bookmark salvato), mai cliccando dal link ricevuto.
Terzo controllo: l'urgenza artificiale
Il phishing funziona perché induce a decidere in fretta, senza pensare. Le formule più comuni sono quasi sempre le stesse:
- "Il tuo account verrà sospeso entro 24 ore"
- "Rilevato accesso sospetto, conferma subito la tua identità"
- "Pagamento in sospeso, evita penali confermando ora"
- "Il pacco non può essere consegnato, aggiorna i dati entro oggi"
Le aziende serie non minacciano la chiusura immediata dell'account via email, e i corrieri non chiedono dati di pagamento per "sbloccare" una consegna. Ogni volta che un messaggio prova a farti saltare la riflessione con una scadenza imminente, è un segnale d'allarme da solo sufficiente a fermarsi.
Altri dettagli che spesso tradiscono il falso
- Saluto generico: "Gentile cliente" invece del tuo nome, quando il servizio reale sa chi sei.
- Allegati inattesi: fatture, bolle di consegna o "documenti importanti" in formato .zip, .html o macro di Office non richiesti vanno trattati come pericolosi finché non verificati altrove.
- Errori di battitura e formattazione: loghi sgranati, layout leggermente diverso dal solito, errori grammaticali insoliti per un'azienda con team di comunicazione.
- Richiesta di dati che il servizio non chiederebbe mai: nessuna banca chiede la password intera o il codice OTP via email o telefono.
Cosa fare in pratica
- Non cliccare, non rispondere: se hai dubbi su un servizio, aprilo separatamente digitando l'indirizzo noto o usando l'app ufficiale.
- Segnala il messaggio come phishing dal tuo client di posta (Gmail, Outlook e simili hanno un pulsante dedicato): aiuta a bloccare campagne simili per altri utenti.
- Se hai già cliccato e inserito credenziali, cambia subito la password sul sito reale e attiva (o verifica) l'autenticazione a due fattori sull'account coinvolto.
- Se hai scaricato un allegato sospetto, scollega la connessione di rete e fai una scansione antivirus prima di riaprire il sistema in uso normale.
Il phishing punta sulla velocità del click, non sull'inganno perfetto. Rallentare per trenta secondi e controllare mittente, link e tono del messaggio è, nella grande maggioranza dei casi, sufficiente a smascherarlo prima che faccia danni.