top of page
Cerca

La minaccia del phishing: alcuni consigli per non cadere in trappola

  • Amedeo Leone
  • 7 giorni fa
  • Tempo di lettura: 5 min

Tecniche, rischi e strategie per difendersi dalle truffe online e proteggere i propri dati



Il phishing è una delle minacce informatiche più diffuse e insidiose del nostro tempo. È una tecnica fraudolenta attraverso la quale i criminali informatici cercano di ottenere informazioni sensibili, come credenziali di accesso, dati bancari o altre informazioni personali, mascherandosi come entità affidabili.



Le tecniche di phishing si evolvono continuamente, sfruttando trend globali e contesti locali. Durante emergenze, pandemie o eventi significativi, le campagne di phishing aumentano notevolmente, approfittando delle paure e delle incertezze delle persone. Per esempio, durante la pandemia di COVID-19, molti attacchi phishing offrivano falsi servizi di vaccinazione o informazioni sanitarie. Per cui l’utente deve prestare la massima attenzione, e anche la persona più attenta o addetta ai lavori può caderne vittima.


Il fatto è che, con lo sviluppo della tecnologia, anche il phishing è diventato - per così dire - più “raffinato”. In questi casi, il punto di partenza è ovviamente la formazione delle aziende, Enti o Studi professionali, ma non basta sempre.



Phishing: perché ci caschiamo?


Le persone possono cadere vittima di phishing per una combinazione di fattori psicologici: tante volte i messaggi di phishing creano un senso di urgenza, spingendo le vittime ad agire rapidamente senza riflettere (per esempio, frasi come "Il tuo account sarà sospeso entro 24 ore" inducono una reazione impulsiva). Può accadere anche che i phisher si fingano figure di autorità (banche, enti governativi, datori di lavoro), sfruttando la tendenza naturale delle persone a rispettare figure percepite come autorevoli. Gli utenti possono poi essere abituati a cliccare rapidamente sui link, specialmente se sembrano provenire da fonti conosciute, come email di un collega o di un'azienda che sembra familiare. Infine, lo stress: le persone stressate o distratte sono più inclini a fare errori, come cliccare su link o fornire informazioni personali senza pensarci troppo.



Phishing: alcuni consigli per non cadere in trappola


Il primo consiglio è che quando ci troviamo di fronte a una mail è essenziale porre in essere alcune tecniche. In primis verificare che il mittente sia affidabile. Fatto questo (il 90% dei casi presenta una mail la cui struttura ci fa già capire che forse qualcosa non quadra) dobbiamo verificare la correttezza grammaticale del testo, se ci sono errori chiari. Con l’avvento dell’IA anche questo secondo punto potrebbe risultare più critico, in quanto con l'ausilio di tale mezzo le incongruenze tante volte vengono limate e quasi eliminate. Con una lettura attenta però si può ancora capire se il testo è genuino e veritiero o meno.


Ecco un elenco di consigli operativi importanti per non cadere in una trappola di phishing, da mettere in atto letteralmente da domani mattina 😉


  • Non iniziare o partecipare ad una catena di corrispondenza ("catene di S. Antonio") né aderire a messaggi di tipo"hoax" (burle ricevute via e-mail che fanno leva sulla credulità del ricevente relativamente a storie drammatiche o alla diffusione di presunti virus);

  • Evitare di diffondere il proprio indirizzo e-mail aziendale attraverso siti, forum, chat, newsletter o quanto altro non pertinente all'attività lavorativa;

  • Non accettare mai l'invito a rimuovere il proprio nominativo da una mailing list per evitare di confermare allo spammer la validità dell'indirizzo mail e non cliccare su link indicati nel corpo della mail;

  • Non aprire i messaggi che appaiono palesemente come spam e cancellarli tempestivamente dalla mailbox!

  • Eliminare tempestivamente le e-mail di provenienza sconosciuta e/o con contenuto sospetto. Eliminare sia da casella Inbox che da casella Posta Eliminata procedendo ad una cosiddetta doppia cancellazione (i principali provider prevedono una tempistica di eliminazione da casella Spam di circa 30 giorni, ma qualora la mail fosse ricevuta in casella ordinaria procedere con la doppia cancellazione);

  • Eliminare tempestivamente gli allegati a messaggi di posta elettronica se il mittente è sconosciuto o - in caso di mittente noto - il testo della mail è in una lingua differente da quella attesa o è composto da frasi senza senso; 

  • Non disabilitare o inibire il corretto funzionamento del software anti-virus; 

  • Non installare né utilizzare software che non sia stato regolarmente acquisito e distribuito tramite i canali aziendali o comunque non autorizzato dai sistemi informativi;

  • In presenza di documenti di provenienza incerta, contenenti macro, forzare la disattivazione delle stesse. Non attivare il pulsante “Abilita Macro” e tenere documento qualora fosse aperto inconsapevolmente in modalità protetta;

  • Eliminare tempestivamente le e-mail di provenienza sconosciuta e/o con contenuto sospetto. Eliminare sia da casella Inbox che da casella Posta Eliminata procedendo ad una cosiddetta doppia cancellazione;

  • Non eseguire programmi ricevuti come allegati a messaggi di posta elettronica senza preventivamente averli scaricati sulla postazione di lavoro ed averli sottoposti a controllo con antivirus;

  • Non visitare siti di dubbia reputazione né eseguire il download di file eseguibili se non si conosce la fonte di provenienza e se non si è espressamente autorizzati;

  • Durante la navigazione Web e/o la lettura delle e-mail, diffidare delle URL particolarmente lunghe contenenti sequenze di valori esadecimale e dialog box che propongono l'installazione di plug-in o applicativi vari, anche se firmati in modo digitale, di cui l'autore è ignoto. Evitare di attivare appunto questa funzionalità;

  • Segnalare prontamente la presenza di eventuali virus all’ADS o reparto IT;

  • Adottare la massima accortezza durante l'utilizzo e la conservazione delle credenziali di autenticazione (nome utente, password, smart card... ) di accesso ai sistemi informatici in modo da evitare una possibile perdita di riservatezza. Non trascriverle su carta e non far circolare i cosiddetti “pizzini” con credenziali. Utilizzare le credenziali sempre ad uso personale e non condividerle con i colleghi;

  • Nel caso in cui si abbia un sospetto, provvedere tempestivamente al cambio della password e comunicarlo al proprio responsabile gerarchico o referente aziendale;

  • Scegliere una password robusta e difficilmente intuibile da altri, costruendo la stessa sulla base di quanto disposto dalle normative interne;

  • Non lasciare incustodita ed accessibile la propria postazione una volta connesso al sistema con le proprie credenziali di autenticazione;

  • Non lasciare incustoditi documenti contenenti dati riservati e/o informazioni che possono consentire a soggetti terzi di accedere ai sistemi informatici aziendali; in caso di dismissione dei suddetti documenti provvedere tempestivamente alla distruzione degli stessi mediante apposite apparecchiature (es. trita documenti nel caso di documenti in formato cartaceo);

  • Non accedere né tentare l'accesso a informazioni per le quali non si possiedono i privilegi autorizzativi;

  • Mantenere la corretta configurazione della propria postazione di lavoro non alterando le componenti hardware e software predisposte allo scopo, né installando ulteriori software non autorizzati.



Un ultimo pensiero su una tipologia specifica di phishing: il vishing (che consiste in truffe effettuate tramite telefonate). Ormai tutti, ogni giorno, sono alla mercé di questa pratica che sfrutta, nella maggior parte dei casi, la buona fede della persona. I sospettosi di natura sono poco attaccabili ma si pensi alle tante persone vulnerabili che magari, a fronte di promesse, cedono a terzi informazioni importanti (portando a una fine tragica, come per esempio i fatti di cronaca hanno portato alla ribalta nel corso di questi ultimi mesi).


Nonostante il phishing sia una pratica diffusa da tempo, è difficile ancor oggi fare muro e trovare una soluzione comune che ci eviti di avere a che fare, anche a distanza di poche ore, con attacchi truffaldini. La consapevolezza è sempre importante: dobbiamo capire che i nostri dati personali sono preziosi e forse dobbiamo impegnarci tutti un po’ di più per tutelarli.

Non sai da dove cominciare?

Parla con un nostro consulente

bottom of page