Guida Completa al Phishing
Il phishing rappresenta una delle minacce informatiche più diffuse e pericolose, responsabile di oltre il 90% degli attacchi informatici andati a segno.
Comprendere le diverse varianti di questa tecnica è fondamentale per proteggere efficacemente utenti e organizzazioni.
Guida realizzata da Simone Maddiona
Il phishing è un attacco di social engineering che tenta di indurre le vittime a rivelare informazioni sensibili attraverso l'inganno.
Il termine deriva dalla parola inglese "fishing" (pescare), poiché come nella pesca, l'attaccante attira la vittima con un'esca ingannevole. I criminali informatici utilizzano tecniche di pretexting per convincere la vittima che sono qualcun altro, ad esempio un'azienda con cui hanno un account, un amico o un collega.
Tipologie di Phishing
Scopri le diverse forme di attacco e come riconoscerle
Email fraudolente inviate in massa utilizzando la tecnica 'spray and pray'
Attacco altamente personalizzato e mirato che studia attentamente la vittima
La forma più sofisticata di spear phishing, mirata ai vertici aziendali
Attacco di phishing che utilizza messaggi SMS o app di messaggistica
Utilizza chiamate vocali come veicolo di attacco, spesso con AI e deepfake
Phishing tramite codici QR che reindirizzano a siti malevoli
Attacco sui social media che impersona account di supporto clienti ufficiali
Replica quasi identica di un'email legittima con allegati o link modificati
Assunzione dell'identità digitale di una persona fidata per indurre a pagamenti fraudolenti
Compromissione del DNS che reindirizza automaticamente a siti fraudolenti
Compromissione di un sito web frequentato dalle vittime per distribuire malware
Phishing Tradizionale
Email fraudolente inviate in massa utilizzando la tecnica 'spray and pray'
Cos'è e come funziona
Il phishing tradizionale rappresenta la forma più comune di attacco informatico, responsabile del 90% delle violazioni di dati. Si tratta di email fraudolente inviate in massa utilizzando la tecnica "spray and pray", che mira a colpire il maggior numero possibile di vittime. Gli attaccanti impersonano organizzazioni affidabili come banche, servizi postali, piattaforme di pagamento o enti governativi.
Meccanismo dell'attacco
Le email di phishing sono progettate per creare un senso di urgenza o paura, informando la vittima che il suo account è stato compromesso o che deve agire immediatamente per evitare conseguenze negative. Il messaggio contiene link che reindirizzano a siti web contraffatti, identici a quelli legittimi, dove l'utente inserisce inconsapevolmente le proprie credenziali.
Esempi Reali
Caso Pepco Group (2024)
Nel febbraio 2024, Pepco Group ha subito un attacco di phishing che ha colpito la sua filiale ungherese. Gli aggressori hanno inviato sofisticate email che hanno portato a trasferimenti fraudolenti per circa 15,5 milioni di euro.
Truffa PayPal (2025)
Nel febbraio 2025, McAfee Labs ha rilevato un picco di truffe legate a PayPal, aumentate di sette volte rispetto a gennaio. Gli attaccanti inviano email dall'aspetto ufficiale con avvisi di "Azione necessaria", chiedendo agli utenti di aggiornare i dettagli del proprio account entro 48 ore.
Truffa PagoPA (2025)
Email fraudolente che simulano richieste di pagamento verso la Pubblica Amministrazione italiana, con oggetti come "Fattura n. 1209-045" e importi precisi. Questi messaggi tentano di rubare credenziali d'accesso e dati bancari.
Come Riconoscere l'Attacco
Errori grammaticali e ortografici evidenti
Loghi di bassa qualità con proporzioni errate
Indirizzi email sospetti con piccole variazioni
Tono allarmistico e urgenza artificiale
Richieste insolite di informazioni sensibili
Spear Phishing
Attacco altamente personalizzato e mirato che studia attentamente la vittima
Cos'è e come funziona
Lo spear phishing è un attacco altamente mirato e personalizzato, a differenza del phishing tradizionale che colpisce indiscriminatamente. Gli attaccanti studiano attentamente la vittima, analizzando il suo ruolo aziendale, i rapporti interni, i progetti in corso e costruiscono messaggi su misura.
Meccanismo dell'attacco
L'aggressore raccoglie informazioni attraverso i social media, siti web aziendali e altre fonti pubbliche. Utilizza poi questi dati per creare email che sembrano provenire da colleghi, superiori o partner commerciali. Il messaggio spesso contiene riferimenti a progetti reali, riunioni interne o nomi di colleghi.
Statistiche Chiave
degli attacchi simula di provenire da Microsoft
attacchi di ingegneria sociale ogni anno per azienda media
tentativi di attacco phishing all'anno per CEO
attacchi di phishing all'anno per personale IT
Esempi Reali
Campagna Water Makara (2024)
Nell'ottobre 2024, il gruppo Water Makara ha lanciato una campagna rivolta alle imprese brasiliane. Email con allegati ZIP dannosi mascherati da documenti fiscali che eseguivano JavaScript offuscato, distribuendo il malware bancario Astaroth.
Attacco al Dipartimento del Lavoro USA
Domini abilmente spoofati che sembravano il dominio legittimo del DoL. Le email sembravano provenire da un dipendente senior del Ministero della Difesa che invitava a presentare un'offerta per un progetto governativo.
Campagna contro utenti Zoom
Campagna che ha colpito almeno 50.000 utenti sfruttando la paura di un licenziamento. I dipendenti venivano indirizzati a un falso sito di login Zoom progettato per rubare le password.
Whaling
La forma più sofisticata di spear phishing, mirata ai vertici aziendali
Cos'è e come funziona
Il whaling è la forma più sofisticata di spear phishing, mirata esclusivamente ai vertici aziendali: CEO, CFO, membri del board. Il termine deriva dall'obiettivo dell'attacco: le "balene", cioè i "pesci grossi" dell'organizzazione. Gli aggressori costruiscono messaggi estremamente sofisticati, contenenti riferimenti a progetti reali.
Meccanismo dell'attacco
Un'email di whaling potrebbe indicare che l'azienda sta affrontando conseguenze legali e che è necessario fare clic sul link per ottenere maggiori informazioni. La combinazione di autorità simulata e pressione temporale è studiata per ridurre al minimo i controlli.
Mentre lo spear phishing può colpire qualsiasi dipendente, il whaling si concentra esclusivamente sui dirigenti di massimo livello. Gli attacchi sono ancora più sofisticati, utilizzando un linguaggio formale e riferimenti a questioni strategiche.
Esempi Reali
FACC - Austria (2016)
La società aeronautica austriaca FACC è stata vittima di una truffa whaling che le è costata oltre 42 milioni di euro. I truffatori hanno convinto dirigenti di alto livello a effettuare trasferimenti non autorizzati.
Crelan Bank - Belgio
Crelan Bank ha perso circa 75,8 milioni di dollari. Il phisher ha compromesso il conto di un dirigente di alto livello e ha ordinato ai suoi dipendenti di trasferire denaro su un conto controllato dall'aggressore.
Pathé Cinema (2018)
La catena di cinema francese Pathé ha perso oltre 19 milioni di euro. I truffatori si sono spacciati per l'amministratore delegato e hanno convinto il direttore finanziario a effettuare cinque bonifici consecutivi.
Smishing
Attacco di phishing che utilizza messaggi SMS o app di messaggistica
Cos'è e come funziona
Lo smishing è un attacco di phishing che utilizza messaggi di testo SMS o app di messaggistica come WhatsApp, Messenger o Telegram. Secondo il report State of the Phish 2024 di Proofpoint, il 75% delle organizzazioni ha subito attacchi di smishing nel 2023.
Meccanismo dell'attacco
Lo smishing sfrutta la tecnica dello SMS spoofing, che consiste nel mascherare il proprio numero di telefono con il nome desiderato. Le percentuali di clic degli SMS oscillano tra l'8,9% e il 14,5%, mentre le email hanno tassi molto più bassi.
Statistiche Chiave
delle organizzazioni ha subito attacchi di smishing nel 2023
percentuale di clic sui link negli SMS
Esempi Reali
Truffa iPhone 12 di Apple (2020)
Nel settembre 2020, una campagna adescava gli utenti con la promessa di un iPhone 12 gratuito. Un chatbot Apple mascherato guidava la vittima a fornire informazioni della carta di credito per coprire le spese di spedizione.
Truffa Poste Italiane
Uno dei casi più clamorosi in Italia coinvolge utenti di Poste Italiane e BancoPosta. Il messaggio SMS è camuffato e sembra provenire realmente da Poste Italiane, ma il sito è falso.
Come Riconoscere l'Attacco
SMS da numeri sconosciuti che imitano organizzazioni note
Richieste urgenti di cliccare su link
Promesse di premi o regali gratuiti
Minacce di sospensione account o servizi
Richieste di confermare dati personali via SMS
Vishing
Utilizza chiamate vocali come veicolo di attacco, spesso con AI e deepfake
Cos'è e come funziona
Il vishing utilizza chiamate vocali come veicolo di attacco. La vittima viene truffata mediante una telefonata che trasmette un messaggio vocale automatico o un operatore umano che si spaccia per un dipendente di un'organizzazione affidabile come una banca, forze dell'ordine o operatori telefonici.
Meccanismo dell'attacco
Gli attacchi vishing moderni utilizzano l'intelligenza artificiale generativa per creare cloni vocali quasi perfetti. I truffatori utilizzano lo spoofing per falsificare il numero di telefono visualizzato sul display del destinatario, simulando un contatto di fiducia.
Esempi Reali
Caso Twitter/X (2020)
Hacker hanno usato il vishing per impersonare i team IT di Twitter, ottenendo credenziali che hanno permesso loro di accedere ad account di alto profilo, incluso quello dell'ex-presidente Barack Obama. Perdite superiori a 100.000 dollari.
Truffa Agenzia delle Entrate
La vittima riceve una chiamata apparentemente dall'Agenzia delle Entrate che comunica un problema fiscale urgente. Viene chiesto di confermare immediatamente dati personali o effettuare pagamenti per evitare sanzioni.
Truffa bancaria con messaggio automatico
Chiamata con registratore vocale che simula un messaggio di servizio urgente dalla propria banca, chiedendo di confermare i dati della carta di credito o il PIN per bloccare operazioni sospette.
Come Riconoscere l'Attacco
Chiamate che creano senso di urgenza estrema
Richieste di confermare PIN o password al telefono
Minacce di conseguenze legali immediate
Chiamate che imitano numeri di enti ufficiali
Richieste di effettuare pagamenti immediati
Quishing
Phishing tramite codici QR che reindirizzano a siti malevoli
Cos'è e come funziona
Il quishing è una forma di phishing che utilizza codici QR per indirizzare le vittime a siti web malevoli. La crescente diffusione dei QR code in contesti quotidiani come ristoranti, mezzi pubblici e colonnine di ricarica ha attirato l'attenzione dei cybercriminali.
Meccanismo dell'attacco
Il quishing è estremamente efficace perché i codici QR sono essenzialmente immagini che i sistemi di sicurezza email tradizionali non possono ispezionare. Gli utenti non possono vedere l'URL di destinazione prima di scansionare il codice, rendendo impossibile verificarne la legittimità.
Esempi Reali
Attacco in Cina (2022)
Campagna in cui truffatori si sono spacciati per il ministero delle Finanze cinese, inviando email con QR code per richiedere sovvenzioni pubbliche. Dopo la scansione, gli utenti dovevano fornire informazioni complete su carte di credito e conti bancari.
Truffe ai parchimetri in Texas e Atlanta (2022)
I criminali hanno apposto adesivi con codici QR contraffatti ai chioschi pay-to-park. I conducenti sono stati indirizzati a un sito fraudolento dove hanno inserito i dati della carta di credito.
Truffe aziendali nel settore HR (2024)
Diverse aziende europee hanno segnalato truffe di lavoro utilizzando codici QR negli annunci di assunzione. Le vittime sono state indotte a caricare documenti personali dopo aver scansionato codici QR fraudolenti.
Come Riconoscere l'Attacco
QR code adesivi sovrapposti a codici originali
Richieste inaspettate di scansionare QR code via email
QR code in luoghi pubblici senza logo ufficiale
Codici che reindirizzano a URL sospetti o accorciati
Angler Phishing
Attacco sui social media che impersona account di supporto clienti ufficiali
Cos'è e come funziona
L'angler phishing è un attacco basato sui social media in cui i truffatori impersonano account di supporto clienti ufficiali. Il termine "angler" si riferisce al pesce abissale angler fish, noto per attirare le sue prede con una luce ingannevole prima di attaccarle.
Meccanismo dell'attacco
Gli attaccanti creano profili falsi che imitano aziende legittime, utilizzando loghi e branding identici. Quando un utente pubblica sui social media un problema con un prodotto o servizio, l'account falso di supporto risponde rapidamente offrendo assistenza e chiedendo informazioni personali.
Esempi Reali
Truffa PayPal su Twitter
Un angler phisher ha preso di mira utenti PayPal da due account Twitter falsi. Il tweet incoraggiava i destinatari a cliccare sull'account Twitter ufficiale @PayPal per assistenza, ma i truffatori monitoravano le risposte per intercettare le conversazioni.
Truffa banca su Twitter
Un cliente twitta di avere un problema con il login bancario. Un account falso "@BankSupportTeam" risponde con un link per "proteggere il tuo account". Il link porta a una pagina di phishing che ruba le credenziali.
Come Riconoscere l'Attacco
Account di supporto creati di recente
Piccole variazioni nel nome utente rispetto all'account ufficiale
Risposte immediate a lamentele pubbliche
Richieste di cliccare link esterni o fornire dati via DM
Account senza badge di verifica ufficiale
Clone Phishing
Replica quasi identica di un'email legittima con allegati o link modificati
Cos'è e come funziona
Il clone phishing è un attacco sofisticato in cui gli attaccanti creano una copia quasi identica di un'email legittima che la vittima ha ricevuto in precedenza. L'attaccante replica meticolosamente ogni aspetto dell'email originale, inclusi formulazione, immagini, logo e indirizzo del mittente.
Meccanismo dell'attacco
Il clone phishing spesso si basa su comunicazioni che l'attaccante ha intercettato o ottenuto attraverso precedenti violazioni. La differenza chiave risiede negli allegati o nei link dell'email clonata: invece di funzioni legittime, questi elementi contengono malware o reindirizzano a pagine di login false.
Esempi Reali
Email di fattura clonata
Un'azienda riceve regolarmente fatture da un fornitore. L'attaccante intercetta una di queste comunicazioni e crea un'email identica, ma modifica l'IBAN per il pagamento. L'azienda effettua il pagamento sul conto dell'attaccante.
Aggiornamento software
Un utente riceve un'email apparentemente dal proprio fornitore IT che sembra una copia esatta di una comunicazione precedente, chiedendo di cliccare su un link per un "nuovo aggiornamento del software urgente". Il link scarica invece malware.
Come Riconoscere l'Attacco
Email duplicate che sembrano invii multipli
Messaggi che affermano di essere "versioni aggiornate"
Link o allegati modificati rispetto all'originale
Lievi differenze nell'indirizzo email del mittente
Urgenza improvvisa non presente nella comunicazione originale
Business Email Compromise
Assunzione dell'identità digitale di una persona fidata per indurre a pagamenti fraudolenti
Cos'è e come funziona
Il BEC è una tecnica estremamente sofisticata in cui gli avversari assumono l'identità digitale di una persona fidata per indurre dipendenti o clienti a compiere azioni come effettuare pagamenti o condividere dati sensibili. Nel 2021 le perdite hanno superato i 2,4 miliardi di dollari, con un aumento del 566% dal 2016.
Meccanismo dell'attacco
I cybercriminali studiano attentamente l'organizzazione, osservano le gerarchie interne, analizzano i flussi approvativi e le abitudini comunicative dei vertici. Utilizzano spoofing, indirizzi simili o account compromessi per inviare messaggi che sembrano autentici.
Statistiche Chiave
perdite dichiarate negli USA nel 2021
aumento delle perdite dal 2016 al 2021
perdite globali complessive
Esempi Reali
Google e Facebook (2013-2015)
Il più grande attacco BEC documentato. Evaldas Rimasauskas ha impersonato un dipendente di Quanta Computer, frodando Facebook e Google per circa 100 milioni di dollari attraverso fatture false. Le aziende hanno recuperato solo 49,7 milioni.
Robinhood (2021)
L'azienda di servizi finanziari ha subito il furto di circa 7 milioni di dati personali degli utenti, compromessi a causa di un attacco di phishing che ha rubato le credenziali di un dipendente.
Marriott Hotel
Un gruppo di hacker ha utilizzato tattiche di social engineering per rubare 20 GB di dati personali e finanziari, ingannando un collaboratore per accedere al suo computer.
Come Riconoscere l'Attacco
Richieste urgenti di trasferimenti di denaro
Email che richiedono riservatezza assoluta
Modifiche improvvise nei dettagli di pagamento
Richieste insolite da parte di dirigenti
Bypass delle procedure di approvazione standard
Pharming
Compromissione del DNS che reindirizza automaticamente a siti fraudolenti
Cos'è e come funziona
Il pharming è un attacco in cui un record per un dominio sul suo server di nomi viene compromesso, e qualsiasi richiesta per quel dominio viene reindirizzata a un indirizzo IP fraudolento. A differenza del phishing che richiede l'interazione della vittima, il pharming manipola il sistema DNS stesso.
Meccanismo dell'attacco
Il DNS (Domain Name System) traduce i nomi di dominio in indirizzi IP. Il pharming corrompe questo processo fondamentale attraverso tre metodi: pharming locale (modifica del file host), drive-by pharming (attacco al router) e DNS poisoning (attacco alla cache del server DNS).
Il pharming è altamente ingannevole poiché il sito web simulato appare identico all'originale. Gli utenti potrebbero non percepire alcuna differenza nell'URL o negli indicatori HTTPS. A differenza del phishing che usa un'esca, il pharming agisce sul funzionamento del DNS senza che l'utente se ne accorga.
Esempi Reali
Attacco alle istituzioni finanziarie (2007)
Un sofisticato attacco di pharming ha preso di mira 50 organizzazioni finanziarie. L'attacco ha comportato la corruzione dei server DNS, reindirizzando migliaia di utenti verso siti bancari falsi perfettamente replicati.
Come Riconoscere l'Attacco
Siti web legittimi che appaiono diversi dal solito
Mancanza del protocollo HTTPS su siti che normalmente lo hanno
Piccoli errori nei dettagli della pagina visitata
Avvisi del browser su certificati non validi
Impossibilità di accedere al sito con credenziali corrette
Watering Hole Attack
Compromissione di un sito web frequentato dalle vittime per distribuire malware
Cos'è e come funziona
Un attacco watering hole è quando i criminali informatici compromettono un sito web sapendo che le loro vittime lo visiteranno. Il nome deriva dalle strategie di caccia dei predatori nella savana che attendono le prede vicino alle pozze d'acqua.
Meccanismo dell'attacco
L'attacco si sviluppa in quattro fasi: raccolta d'intelligence (tracciamento delle abitudini di navigazione), analisi (ricerca di vulnerabilità nei siti frequentati), preparazione (iniezione di codice malevolo) ed esecuzione (attesa che la vittima visiti il sito compromesso).
Gli attacchi watering hole sono relativamente rari, ma continuano ad avere un alto tasso di successo perché prendono di mira siti web legittimi che non possono essere inseriti nella blacklist, distribuiscono exploit zero-day che i rilevatori antivirus non rileveranno, e sfruttano la fiducia che gli utenti hanno nei siti che visitano regolarmente.
Esempi Reali
Nitrokod e falso Google Translate (2022)
Campagna di mining di criptovalute che ha infettato dispositivi in 11 paesi. Nitrokod offriva versioni gratuite di applicazioni popolari senza versione desktop ufficiale. La sua impersonificazione di Google Translate era trojanizzata con malware per il mining.
Come Riconoscere l'Attacco
Comportamenti anomali su siti web familiari
Richieste inaspettate di scaricare software
Reindirizzamenti automatici a pagine sospette
Rallentamenti improvvisi del sistema dopo aver visitato un sito
Avvisi di sicurezza del browser su siti normalmente sicuri
Come Riconoscere gli Attacchi
Segnali che possono aiutare a identificare un tentativo di phishing
Messaggi scritti male con errori grammaticali evidenti
Loghi strani con proporzioni errate o bassa risoluzione
Indirizzi email sospetti con piccole variazioni
Urgenza e pressione emotiva nei messaggi
Link malevoli che sembrano legittimi
Richieste inaspettate di informazioni sensibili
URL non sicuri senza certificato SSL
Protezione e Prevenzione
Un approccio multilivello per difendersi efficacemente
Formazione dei dipendenti
Educare il personale a identificare e reagire adeguatamente ai messaggi di phishing.
Soluzioni tecniche
Implementare filtri antispam, gateway email sicuri e protocolli DMARC, DKIM e SPF.
Simulazioni regolari
Condurre simulazioni di phishing per testare la capacità di riconoscere le minacce.
Multi-Factor Authentication
Richiedere l'autenticazione a più fattori per tutti gli account importanti.
Verifiche dirette
In caso di dubbio, verificare sempre direttamente con il presunto mittente.
La cybersecurity è una responsabilità condivisa che richiede vigilanza costante, formazione continua e implementazione di tecnologie di sicurezza avanzate. Mantenere i dipendenti informati sulle ultime tecniche di phishing e creare una cultura della sicurezza informatica è essenziale per proteggere le organizzazioni dalle minacce in continua evoluzione.
Guida realizzata da Simone Maddiona
Hai Subito un Attacco?
Se sospetti di aver subito un attacco di phishing, contatta immediatamente la Polizia Postale
Segnala Subito
Non aspettare! Contatta la Polizia Postale della tua regione per segnalare l'incidente.
⚠️ Cosa fare immediatamente:
- • Cambia tutte le password compromesse
- • Contatta la tua banca se sono coinvolti dati finanziari
- • Segnala l'incidente alle autorità competenti
Prevenzione
Impara a riconoscere e prevenire gli attacchi di phishing per proteggere te stesso e la tua organizzazione.
💡 Consigli di sicurezza:
- • Verifica sempre l'autenticità dei mittenti
- • Non cliccare su link sospetti
- • Mantieni aggiornati i tuoi sistemi