banco di pesci
Protezione Dei Dati & Sicurezza

Cosa si intende per «phishing»?

Lisa Wang
Lisa Wang

Aggiornare i dati di accesso, pagare i dazi doganali per la consegna di un pacco, verificare un conto bancario: durante un tentativo di «phishing», i criminali informatici cercano di ingannare le loro vittime via e-mail per indurle a condividere dati personali o password. Siete in grado di riconoscere le e-mail di phishing?

Il termine «phishing» deriva dall’inglese ed è composto da «password» e «fishing». In questo tipo di attacchi, criminali informatici utilizzano e-mail contraffatte per cercare di ottenere dati sensibili dalle loro vittime, quali password, dati di carte di credito o coordinate di un account. Fingono di essere un’azienda o una persona nota o affidabile e invitano i destinatari, ad esempio, a effettuare l’accesso a un link di un sito web contraffatto inserendo i loro dati di registrazione per «pescare» letteralmente nome utente e password. Un altro esempio sono le e-mail in cui si chiede alle vittime di aprire un file allegato contenente un malware.

Le e-mail di phishing possono essere molto diversificate e, nell’era dell’intelligenza artificiale (IA), spesso non sono facilmente riconoscibili. Non è raro che la pressione in termini di tempo venga utilizzata come fattore di stress durante questo tipo di attacchi: se l’azione richiesta non viene eseguita in tempi brevi si rischia di subire conseguenze quali il blocco di un conto online o di una carta di credito.

Come riconoscere le e-mail di phishing

Le e-mail di phishing sono spesso ingannevolmente autentiche. Esistono tuttavia degli indizi che permettono di riconoscere i trucchi psicologici in esse contenuti. Se si applicano uno o più punti elencati di seguito è necessaria una buona dose di diffidenza.

Appellativo impersonale
Le e-mail di phishing contengono spesso un appellativo generico (ad esempio «Gentile cliente», «Buongiorno») oppure l’appellativo contiene errori o è scritto in una lingua straniera (ad esempio «Caro Anna», «Dear Mrs Anna Esempio»).

Ortografia
Le e-mail di phishing scadenti contengono spesso errori di ortografia o frasi e/o parole in lingua straniera. Purtroppo, questa caratteristica sta venendo sempre meno nell’era dell’intelligenza artificiale, quindi è necessario prestare maggiore attenzione al contenuto dell’e-mail. 

Mittente
L’indirizzo e-mail del mittente è spesso sospetto. Il nostro consiglio: spostate il mouse sul nome del mittente senza cliccare su di esso finché non viene visualizzato il relativo indirizzo e-mail. In alternativa cliccate sul nome del mittente visualizzato. L’indirizzo e-mail corrisponde al presunto mittente? Le e-mail di phishing utilizzano spesso un indirizzo e-mail criptico o un dominio che assomiglia più a un «groviglio di lettere».
Un esempio: in un’e-mail di HIN, l’indirizzo e-mail del mittente conterrà il dominio @hin.ch. Al contrario, mittenti quali @paypa1.com, @invoice-payments.net o @hin.mailserver.online risultano sospetti.

Pressione in termini di tempo / minacce
Le mail di phishing minacciano spesso conseguenze se non si compie un’azione entro breve tempo. Ad esempio, una carta di credito viene presumibilmente bloccata, un account di posta elettronica viene disattivato o un pacco non viene consegnato.

Contenuto dell’e-mail
Siate sempre scettici quando vi viene richiesto di trasmettere dati sensibili o di eseguire un bonifico. Nessuna azienda legittima vi chiederà mai di inviare via e-mail la vostra password personale o il vostro PIN.

Link
I link contenuti nelle e-mail di phishing sono spesso sospetti. Il classico trucco dei criminali informatici: il testo del link mostra un indirizzo affidabile (ad esempio «www.hin.ch») ma il link che si cela dietro a esso porta a una pagina completamente diversa (ad esempio «www.hin-vertrauen.reset-password.com»). Il nostro consiglio: spostate il cursore del mouse sul link senza cliccare su di esso. Apparirà una piccola finestra che mostra il collegamento effettivo.

Importante:

Nei casi più rari si verificano tutte le caratteristiche menzionate sopra. Quindi, ad esempio, un appellativo corretto o un indirizzo affidabile del mittente non esclude la possibilità che si tratti di un’e-mail di phishing.

Cosa fare se si sospetta un’e-mail di phishing?

Se un’e-mail vi insospettisce vi consigliamo di agire con cautela:

  • Non cliccate mai su allegati o link.
  • Non divulgate mai dati personali o password.
  • Se si tratta chiaramente di un’e-mail di phishing eliminate l’e-mail e bloccate il mittente.
  • In caso di dubbi telefonate e chiedete al presunto mittente. Importante: cercate i relativi dati di contatto in Internet perché anche i numeri di telefono contenuti nelle e-mail possono essere contraffatti.
  • Avete divulgato dati confidenziali e, solo in seguito, avete sospettato qualcosa? Agite rapidamente bloccando le carte di credito interessate, informando il servizio online o modificando la password che avete divulgato.

Ulteriori Informazioni

Ufficio federale della cibersicurezza (UFCS) in merito alle e-mail
Ufficio federale della cibersicurezza (UFCS) in merito al phishing
Segnalazione di siti web ed e-mail di phishing
Lisa Wang
Autore: Lisa Wang - Security Officer

In veste di esperta in sicurezza informatica vi informo sulle attuali criticità nella rete. Vi svelo inoltre i trucchi che vi permettono di proteggervi facilmente dai pericoli informatici e vi spiego il significato di termini e nessi relativi alla sicurezza delle informazioni. Con me scoprirete in che modo, lavorando insieme, possiamo rendere più sicuro il mondo digitale nel settore sanitario.

Competenze
Ancor prima di studiare informatica forense ho potuto accumulare le mie prime esperienze nell’ambito della sicurezza informatica. Durante gli studi ho approfondito le mie conoscenze e mi sono specializzata nell’analisi e nello studio dei sistemi e dei processi informatici. Successivamente ho maturato oltre 8 anni di esperienza nel campo della sicurezza informatica, in particolare nel contesto bancario, e in tal modo ho potuto costantemente ampliare le mie competenze nell’identificazione di vulnerabilità e rischi nonché nella definizione di misure di protezione. Lavoro come Security Officer presso HIN dal 2024. In questo ruolo verifico i nostri processi, le infrastrutture e i sistemi allo scopo di individuare potenziali vulnerabilità e rischi e definisco le opportune misure di protezione per HIN.

Curiosità personali
Nel tempo libero mi rilasso e mi ricarico tramite varie attività quali la lettura, le passeggiate e lo yoga. Quando ho un buon libro tra le mani posso perdermici per ore e scoprire nuovi mondi. Una passeggiata nella natura, tra i boschi o in riva al lago, mi aiuta a riordinare i pensieri e a rinfrescarmi. Lo yoga rappresenta per me un’ulteriore opportunità di armonizzare il mio corpo e la mia mente e per riequilibrarmi. Apprezzo anche il tempo che trascorro con la mia famiglia e i miei amici – congiuntamente in occasione di un pasto o di una gita tra le montagne svizzere.

Altri articoli da Lisa Wang

Avviso sui cookie