Phishing: la minaccia invisibile che sfrutta emozioni e fake alert

Phishing: la minaccia invisibile che sfrutta emozioni e fake alert

Il phishing è tra le minacce digitali più diffuse e insidiose del 2025, capace di ingannare chiunque con email o siti web che sembrano assolutamente autentici. La nuova ondata di attacchi sfrutta la grafica e il linguaggio di enti ufficiali come istituzioni statali, servizi popolari e aziende note, oltre ad abusare di vulnerabilità come gli open redirect di servizi famosi. Queste campagne mirano a ottenere i nostri dati, password o a infettare i dispositivi. Consigli principali: non cliccare mai link sospetti, verifica sempre il mittente, attiva la doppia autenticazione e aggiorna le password regolarmente.

Cos’è il phishing e perché dovresti preoccuparti

Il phishing è una tecnica di truffa digitale che mira a rubare informazioni sensibili come dati personali, credenziali e dettagli bancari, attraverso email, SMS o siti web falsificati. Gli attaccanti si fingono organizzazioni affidabili, spesso imitando comunicazioni governative, banche o aziende di servizi digitali. Nel 2025, il phishing rappresenta il 60% di tutti gli attacchi informatici, secondo i dati delle campagne di sensibilizzazione europee. L’unico “virus” è la fiducia mal riposta nelle apparenze.

Gli hacker puntano sulla psicologia dell’urgenza, della paura o del senso di dovere: “Aggiorna subito i tuoi dati per non perdere l’accesso!”, “Abbiamo rilevato attività sospette sul tuo account!”, “Hai vinto un premio!”. In realtà, ogni click può portare su una pagina clone, pronta a registrare le tue credenziali o infettare il tuo dispositivo.

Le più recenti tecniche di phishing nel 2025

Nel 2025, il phishing evolve sfruttando:

  • Comunicazioni ufficiali apparenti: Email che sembrano inviate da enti governativi come myGov in Australia, agenzie fiscali, o PA italiane, complete di loghi, toni formali e riferimenti personalizzati.
  • Siti clone e pulsanti ingannevoli: I link portano a pagine web che imitano in modo impeccabile i siti originali, spesso con domini simili (es.: sostituiscono una “O” con uno zero o usano .com invece di .gov).
  • Abuso degli open redirect: Gli attaccanti sfruttano funzionalità legittime di reindirizzamento offerte da servizi famosi (Google, Microsoft) per dare credibilità al link, che dopo un passaggio intermedio conduce al sito fraudolento.
  • Campagne di social engineering: Email che annunciano violazioni della sicurezza, aggiornamenti urgenti o richieste di verifica account, come nel recente caso delle email a nome LastPass dove si chiede di aggiornare subito il software per evitare “hackeraggi” inesistenti.
  • Targeting mirato dopo data breach: Chi è stato coinvolto in grandi incidenti di sicurezza (es. Ticketek nel 2024) viene preso di mira da email che già conoscono dati sensibili, aumentando la credibilità della truffa.

Come riconoscere una campagna di phishing moderna

Le campagne risultano sempre più sofisticate, ma alcuni indizi non mentono:

  • Mittenti strani: Anche se l’indirizzo sembra autentico, spesso nasconde errori minuscoli o domini insoliti. Esempio: myG0v invece di myGov.
  • Contenuti generici: Frasi poco personalizzate, ma con elementi che sembrano professionali (codici di riferimento, loghi).
  • Link mascherati: Passando il mouse sui pulsanti o link si scoprono URL strani o molto lunghi.
  • Richiesta dati personali via email: Nessuna ente serio richiede password o dati bancari direttamente con una email o SMS.
  • Ortografia e grammatica: Errori di battitura o traduzioni automatizzate possono essere segnali di allerta.

Esempi pratici: gli attacchi reali del 2025

  • MyGov in Australia: Dopo alcuni noti data breach, gli utenti ricevono email che sembrano perfette repliche dei messaggi originali, ma con indirizzi camuffati e link a siti segnalati come pericolosi da servizi di sicurezza. Il fine è rubare le credenziali d’accesso ai servizi pubblici.
  • LastPass: Un’altra recente campagna sfrutta la notorietà di LastPass; le email chiedono con urgenza di aggiornare l’app desktop cliccando su link che portano a siti fasulli, dietro cui si cela il furto dei codici di accesso a tutti i servizi memorizzati dal gestore password.
  • Payroll Pirates: Una campagna battezzata così dagli analisti mira ai sistemi di pagamento aziendali, con email che sembrano provenire dall’ufficio stipendi. Lo scopo: impadronirsi delle credenziali per deviare i pagamenti su conti degli attaccanti.

L’allarme delle istituzioni europee

L’importanza della prevenzione è stata sottolineata dall’Unione Europea anche nel Mese Europeo della Sicurezza Informatica 2025, dove la lotta al phishing occupa un ruolo centrale. Si enfatizza che la cybersicurezza è responsabilità condivisa, non solo tecnologica ma anche comportamentale: la consapevolezza dell’utente è la prima difesa.

Le campagne attuali puntano sia su cittadini che aziende, sfruttando la digitalizzazione di molti servizi post-pandemia e la fretta con cui spesso gestiamo comunicazioni online.

Suggerimenti pratici e immediati per evitare rischi

Consigli rapidi:

  • Non cliccare mai su link sospetti. Se ricevi un’email o SMS inatteso che chiede dati o azioni urgenti, apri il sito digitando l’indirizzo manualmente nel browser.
  • Controlla sempre chi scrive. Anche un piccolo errore nel mittente è un campanello d’allarme.
  • Attiva la doppia autenticazione (MFA). Questo blocca molti attacchi anche quando la password è stata rubata.
  • Usa password uniche e robuste per ogni servizio. Un password manager aiuta a non riutilizzare le stesse credenziali.
  • Aggiorna software e dispositivi. Molte infezioni sfruttano vulnerabilità risolte con gli ultimi aggiornamenti.

Approfondimento: la difesa strutturata contro il phishing

Azioni strategiche più avanzate:

  • Utilizza link checker affidabili: Prima di aprire un link sospetto, verifica la reputazione del sito con servizi come NordVPN Link Checker o VirusTotal.
  • Controlla frequentemente la sicurezza dei tuoi account: Molti servizi avvisano in caso di accessi insoliti o tentativi falliti.
  • Formazione continua: Partecipa o promuovi corsi sulla sicurezza digitale sia in azienda che per uso personale.
  • Imposta alert bancari: Molti istituti permettono notifiche istantanee per movimenti sospetti.
  • Verifica gli ultimi incidenti di sicurezza: Se hai lasciato la tua email in database compromessi di recente (es. data breach pubblici), cambia subito password e valuta se la doppia autenticazione è attivata.
  • Diffida dalle comunicazioni che fanno leva su urgenza emotiva: Le campagne più efficaci usano la paura o la pressione temporale per spingere all’azione senza riflessione.

Ricorda sempre: la sicurezza online dipende in primo luogo dalla tua prudenza quotidiana. Una buona dose di diffidenza e alcune semplici pratiche possono evitare molte conseguenze gravi.

Fonte: https://www.redhotcyber.com/post/phishing-contro-pagopa-nuova-campagna-abusa-di-open-redirect-google

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto