Vai al contenuto principale

Come Proteggersi dagli Attacchi di Phishing

Il phishing è la causa principale del furto di account. Come funziona il phishing moderno, i segnali d'allarme e le difese che bloccano davvero gli attacchi.

Ultimo aggiornamento: 14 aprile 2026

Riassunto

  • Il phishing è la causa principale delle violazioni degli account: gli attaccanti vi inducono a inserire le credenziali su un sito falso.
  • I kit di phishing moderni clonano le pagine di accesso in modo perfetto e inoltrano i codici 2FA in tempo reale.
  • Le chiavi di sicurezza hardware (YubiKey, FIDO2) sono l'unica difesa progettata per essere a prova di phishing.
  • I password manager vi proteggono rifiutandosi di compilare automaticamente i campi sul dominio sbagliato.
  • Verificate il dominio esatto prima di inserire le credenziali e non effettuate mai l'accesso tramite un link ricevuto via e-mail.

Che cos'è il phishing?

Il phishing è un attacco di ingegneria sociale in cui un attaccante crea una copia convincente di un sito web legittimo — spesso identica al pixel — e induce la vittima a inserire le proprie credenziali. Nel momento in cui la vittima invia il modulo, l'attaccante cattura nome utente, password e qualsiasi secondo fattore, per poi utilizzarli per prendere il controllo dell'account reale in pochi secondi.

Il termine deriva dalla metafora della "pesca" di vittime con un'esca (solitamente un'e-mail). L'ortografia è stata modificata per sottolineare che gli attaccanti utilizzano spesso numeri di telefono (phishing via SMS, o "smishing") e infrastrutture dall'aspetto professionale.

Perché il phishing è ancora la minaccia principale

La maggior parte delle violazioni di account su larga scala oggi non coinvolge hacking, forzatura di password o aggiramento della crittografia. Riguardano un essere umano che digita una password su un sito falso. Il phishing è:

  • Economico — un attaccante può inviare milioni di e-mail al costo di un VPS e un dominio contraffatto
  • Difficile da filtrare — i kit moderni ruotano i domini, utilizzano hosting legittimi e si adattano ai filtri in tempo reale
  • Efficace — anche gli utenti attenti alla sicurezza cadono in tentativi mirati ben costruiti (spear phishing)
  • Scalabile — un singolo attacco di phishing riuscito spesso consente l'accesso a decine di servizi collegati tramite il riutilizzo delle password

Il Verizon Data Breach Investigations Report 2024 ha rilevato che il phishing è stato il vettore di accesso iniziale in oltre il 36% di tutte le violazioni — più di qualsiasi altra singola causa.

Come funziona il phishing moderno

Il phishing si è evoluto ben oltre le e-mail del "principe nigeriano" degli anni 2000. Un attacco di phishing moderno comprende tipicamente:

1. Un'esca convincente

Di solito un'e-mail, un messaggio di testo o una chat che crea urgenza ("Il tuo account sarà sospeso"), autorità ("Team di sicurezza Microsoft") o curiosità ("Qualcuno ti ha taggato in una foto"). Lo spear-phishing va oltre, includendo dettagli personali estratti da LinkedIn, archivi di violazioni o corrispondenza precedente.

2. Un sito falso perfetto al pixel

Gli attaccanti utilizzano kit di phishing pronti all'uso che clonano HTML, CSS e JavaScript del sito di destinazione. Molti kit vengono venduti come servizio (phishing-as-a-service), con dashboard funzionanti e supporto clienti.

3. Un proxy in tempo reale per il 2FA

La parte più pericolosa: i kit moderni non si limitano a catturare la password. Agiscono come un proxy man-in-the-middle che inoltra tutto ciò che si digita — incluso il codice TOTP — al sito reale in pochi secondi, aggirando la maggior parte del 2FA. Questa tecnica si chiama adversary-in-the-middle (AiTM) e viene utilizzata in strumenti come Evilginx2 e Modlishka.

4. Furto del token di sessione

Una volta autenticati tramite il proxy, l'attaccante cattura il cookie di sessione e può utilizzarlo per rimanere connesso anche dopo il cambio della password. Per questo motivo la risposta al phishing include sempre la revoca delle sessioni attive, non solo la rotazione della password.

Cosa blocca davvero il phishing

Chiavi di sicurezza hardware (FIDO2 / WebAuthn)

Questa è l'unica categoria di difesa a prova di phishing per progettazione. Quando si accede con una chiave FIDO2, la chiave verifica crittograficamente il dominio esatto del sito che richiede l'autenticazione. Un sito falso — per quanto visivamente perfetto — ha un dominio diverso, quindi la chiave si rifiuta di rispondere. L'handshake crittografico semplicemente non si completa.

Google ha imposto l'uso di YubiKey a tutti gli oltre 85.000 dipendenti nel 2017 e ha riportato zero attacchi di phishing riusciti sugli account aziendali negli anni successivi.

Passkey

Le passkey sono l'evoluzione consumer-friendly di FIDO2. Utilizzano la stessa crittografia legata al dominio e sono integrate in iOS, Android, macOS e Windows. Se un sito che utilizzate supporta le passkey, abilitarne una rende quell'account a prova di phishing.

Password manager

Un password manager è la seconda linea di difesa perché compila automaticamente le credenziali solo sul dominio esatto in cui sono state salvate. Se atterrate su paypaI.com (con la I maiuscola) invece di paypal.com, il gestore si rifiuterà silenziosamente di compilare il modulo. Quel rifiuto è un chiaro avvertimento che qualcosa non va.

Filtraggio e-mail e DNS

I provider di posta elettronica utilizzano DMARC, SPF e DKIM per rilevare gli indirizzi mittente contraffatti. La maggior parte dei provider moderni intercetta i tentativi più ovvi, ma gli attacchi mirati riescono comunque a passare. Utilizzate i pulsanti "Segnala phishing" nel vostro client di posta per contribuire al miglioramento dei filtri.

Segnali d'allarme da tenere d'occhio

Quando ricevete un messaggio che vi chiede di accedere, verificare o agire con urgenza:

  • Urgenza e minacce — "Il tuo account sarà chiuso entro 24 ore"
  • Saluti generici — "Gentile cliente" invece del vostro nome
  • Domini simili a quelli legittimipaypaI.com, app1e.com, secure-microsoft-login.net
  • Allegati inattesi — in particolare file .zip, .html o .pdf che richiedono l'accesso per essere visualizzati
  • Errori grammaticali o di formattazione — le grandi aziende revisionano le proprie e-mail
  • Link non corrispondente — passate il cursore sul link e verificate se la destinazione corrisponde al testo

Se qualcosa sembra strano, chiudete l'e-mail. Navigate manualmente verso il sito. Se c'è un problema reale, lo vedrete accedendo tramite il vostro flusso di lavoro abituale.

Cosa fare se siete caduti in una trappola di phishing

Agite rapidamente — la velocità è fondamentale perché gli attaccanti iniziano a utilizzare le credenziali in pochi minuti.

  1. Cambiate immediatamente la password da un dispositivo diverso (il vostro telefono, ad esempio, se avete subito l'attacco sul laptop)
  2. Revocate tutte le sessioni attive nelle impostazioni dell'account — questo disconnette chiunque stia utilizzando i token di sessione rubati
  3. Attivate il 2FA se non era già abilitato, e utilizzate una chiave hardware o una passkey se possibile
  4. Verificate la presenza di attività non autorizzate — e-mail inviate, accessi recenti, modifiche alla fatturazione, nuove regole di inoltro
  5. Notificate l'istituto interessato se si tratta di un conto finanziario o lavorativo
  6. Controllate gli altri account che utilizzavano la stessa password — anche se siete certi di non riutilizzare le password, verificate comunque

Conclusione

Il phishing prospera perché aggira la tecnologia e prende di mira gli esseri umani. Le migliori difese combinano tre livelli: password manager (si rifiutano di compilare automaticamente sui domini sbagliati), 2FA resistente al phishing (chiavi hardware o passkey legate al dominio reale) e sano scetticismo (non effettuate mai l'accesso tramite un link in un'e-mail).

Attivate tutti e tre sull'account più importante — la vostra e-mail — per prima cosa. Da lì, il resto della vostra vita digitale diventerà significativamente più sicuro.

Come Proteggersi dal Phishing

Una checklist pratica e ordinata per rafforzare i vostri account contro gli attacchi di phishing.

  1. Utilizzate un password manager:Installate un password manager affidabile (1Password, Bitwarden, Proton Pass) e lasciate che compili automaticamente le credenziali. Si rifiuterà di compilarle su domini simili a quelli legittimi, fungendo da rilevatore di phishing integrato.
  2. Attivate il 2FA resistente al phishing:Aggiungete una chiave hardware FIDO2 (YubiKey, Google Titan) o una passkey agli account più importanti — prima l'e-mail, poi i servizi bancari, l'archiviazione cloud e il password manager. Questi sono gli unici metodi 2FA che bloccano davvero il phishing moderno.
  3. Non effettuate mai l'accesso tramite link nelle e-mail:Quando ricevete un'e-mail che vi chiede di accedere, chiudetela e navigate manualmente verso il sito tramite un segnalibro o digitando l'URL. Il link nell'e-mail potrebbe portare a un clone perfetto; il segnalibro nel vostro browser no.
  4. Verificate il dominio esatto prima di digitare:Prima di inserire qualsiasi password, osservate l'URL completo nella barra degli indirizzi. Verificate la presenza di https, l'ortografia corretta e l'assenza di sottodomini aggiuntivi come paypal.com.secure-login.net.
  5. Segnalate e andate avanti:Segnalate il tentativo di phishing al vostro provider di posta (la maggior parte dispone di un pulsante "Segnala phishing"). Poi proseguite con la vostra giornata — il phishing è pericoloso solo se ci cascate, e la consapevolezza è la parte più importante della battaglia.

Domande Frequenti

Articoli correlati

Cos'è la 2FA?

Checklist sulla Privacy Online

Cos'è l'email crittografata?