Vai al contenuto principale

Come Proteggersi dagli Attacchi di Phishing

Il phishing rimane il metodo principale con cui vengono rubati gli account. Scopri come funziona il phishing moderno, i segnali d'allarme da osservare e le difese pratiche che fermano davvero gli attacchi.

2026-04-14

TL;DR

  • Il phishing è la causa principale del furto di account — gli aggressori vi ingannano facendovi inserire le credenziali su un sito falso.
  • I moderni kit di phishing clonano le pagine di login in modo perfetto e inoltrano i vostri codici 2FA in tempo reale.
  • Le chiavi di sicurezza hardware (YubiKey, FIDO2) sono l'unica difesa progettata per essere a prova di phishing.
  • I gestori di password vi proteggono rifiutandosi di compilare automaticamente sul dominio sbagliato.
  • Controllate l'esatto dominio prima di digitare le credenziali e non fate mai login da un link in un'email.

Cos'è il phishing?

Il phishing è un attacco di social engineering in cui un aggressore crea una copia convincente di un sito web legittimo — spesso perfetta fino al pixel — e inganna una vittima facendole inserire le credenziali lì. Nel momento in cui la vittima invia il modulo, l'aggressore cattura username, password e qualsiasi secondo fattore, poi li usa per impossessarsi dell'account reale in pochi secondi.

La parola deriva dalla metafora della "pesca" di vittime con un'esca (di solito un'email). L'ortografia è cambiata per enfatizzare che gli aggressori spesso usano numeri di telefono (phishing SMS, o "smishing") e infrastrutture dall'aspetto professionale.

Perché il phishing è ancora la minaccia numero 1

La maggior parte delle violazioni di account su larga scala oggi non comporta hacking, forzatura di password o aggiramento della crittografia. Comporta un essere umano che digita una password in un sito falso. Il phishing è:

  • Economico — un aggressore può inviare milioni di email al costo di un VPS e un dominio falsificato
  • Difficile da filtrare — i kit moderni ruotano domini, usano hosting legittimi e si adattano ai filtri in tempo reale
  • Efficace — anche utenti consapevoli della sicurezza cadono in tentativi mirati ben costruiti (spear phishing)
  • Scalabile — un singolo phishing riuscito spesso fornisce accesso a decine di servizi connessi attraverso il riuso delle password

Il Verizon Data Breach Investigations Report del 2024 ha rilevato che il phishing è stato il vettore di accesso iniziale in oltre il 36% di tutte le violazioni — più di qualsiasi altra singola causa.

Come funziona il phishing moderno

Il phishing si è evoluto ben oltre le email del "principe nigeriano" degli anni 2000. Un attacco di phishing moderno tipicamente include:

1. Un'esca convincente

Di solito un'email, testo o messaggio di chat che crea urgenza ("Il vostro account sarà sospeso"), autorità ("Team di sicurezza Microsoft"), o curiosità ("Qualcuno vi ha taggato in una foto"). Lo spear-phishing spinge questo oltre con dettagli personali presi da LinkedIn, database di violazioni o corrispondenza precedente.

2. Un sito falso perfetto fino al pixel

Gli aggressori usano kit di phishing pronti all'uso che clonano HTML, CSS e JavaScript del sito target. Molti kit sono venduti come servizio (phishing-as-a-service), con dashboard funzionanti e supporto clienti.

3. Un proxy in tempo reale per la 2FA

La parte pericolosa: i kit moderni non catturano solo la vostra password. Agiscono come proxy man-in-the-middle che inoltra tutto quello che digitate — incluso il vostro codice TOTP — al sito reale in pochi secondi, aggirando la maggior parte della 2FA. Questa tecnica si chiama adversary-in-the-middle (AiTM) ed è usata in strumenti come Evilginx2 e Modlishka.

4. Furto di token di sessione

Una volta che vi autenticate attraverso il proxy, l'aggressore cattura il vostro cookie di sessione e può usarlo per rimanere loggato anche dopo che cambiate la password. Questo è perché la risposta al phishing include sempre la revoca delle sessioni attive, non solo la rotazione della password.

Cosa ferma davvero il phishing

Chiavi di sicurezza hardware (FIDO2 / WebAuthn)

Questa è l'unica categoria di difesa che è a prova di phishing per design. Quando fate login con una chiave FIDO2, la vostra chiave verifica crittograficamente l'esatto dominio del sito che richiede autenticazione. Un sito falso — non importa quanto visualmente perfetto — ha un dominio diverso, quindi la chiave si rifiuta di rispondere. L'handshake crittografico semplicemente non si completa.

Google ha notoriamente reso obbligatorie le YubiKey per tutti gli oltre 85.000 dipendenti nel 2017 e ha riportato zero attacchi di phishing riusciti su account aziendali negli anni successivi.

Passkey

Le passkey sono l'evoluzione consumer-friendly di FIDO2. Usano la stessa crittografia legata al dominio e sono integrate in iOS, Android, macOS e Windows. Se un sito che usate supporta le passkey, abilitarne una rende quell'account a prova di phishing.

Gestori di password

Un gestore di password è la vostra seconda linea di difesa perché compila automaticamente le credenziali solo sull'esatto dominio dove sono state salvate. Se atterrate su paypaI.com (I maiuscola) invece di paypal.com, il vostro gestore si rifiuta silenziosamente di compilare il modulo. Quel rifiuto è un forte avvertimento che qualcosa non va.

Filtraggio email e DNS

I provider email usano DMARC, SPF e DKIM per rilevare indirizzi mittente falsificati. La maggior parte dei provider moderni cattura i tentativi ovvi, ma gli attacchi mirati scivolano ancora attraverso. Abilitate i pulsanti "segnala phishing" nel vostro client mail così aiutate i filtri a migliorare.

Segnali d'allarme da osservare

Quando ricevete un messaggio che vi chiede di fare login, verificare o agire urgentemente:

  • Urgenza e minacce — "Il vostro account sarà chiuso in 24 ore"
  • Saluti generici — "Egregio cliente" invece del vostro nome
  • Domini similipaypaI.com, app1e.com, secure-microsoft-login.net
  • Allegati inaspettati — specialmente file .zip, .html o .pdf che vi chiedono di fare login per visualizzarli
  • Errori di grammatica o formattazione — le grandi aziende correggono le loro email
  • Mismatch dei link — passate il mouse sul link e controllate se la destinazione corrisponde al testo

Se qualcosa vi sembra strano, chiudete l'email. Navigate al sito manualmente. Se c'è un problema reale, lo vedrete quando fate login attraverso il vostro workflow normale.

Cosa fare se ci siete cascati

Agite rapidamente — la velocità conta perché gli aggressori iniziano a usare le credenziali in pochi minuti.

  1. Cambiate immediatamente la password su un dispositivo diverso (il vostro telefono, per esempio, se ci siete cascati sul laptop)
  2. Revocate tutte le sessioni attive nelle impostazioni dell'account — questo caccia chiunque stia attualmente usando token di sessione rubati
  3. Abilitate la 2FA se non era già attiva, e usate una chiave hardware o passkey se possibile
  4. Controllate per attività non autorizzate — email inviate, login recenti, cambi di fatturazione, nuove regole di inoltro
  5. Notificate l'istituzione interessata se è un account finanziario o di lavoro
  6. Controllate altri account che usavano la stessa password — anche se siete sicuri di non riusare password, controllate

Il punto cruciale

Il phishing prospera perché aggira la tecnologia e prende di mira gli esseri umani. Le migliori difese mescolano tre livelli: gestori di password (si rifiutano di compilare automaticamente sui domini sbagliati), 2FA resistente al phishing (chiavi hardware o passkey che si legano al dominio reale), e scetticismo sano (non fate mai login da un link email).

Abilitate tutti e tre sul vostro account più importante — la vostra email — prima. Da lì, il resto della vostra vita digitale diventa significativamente più sicura.

Come Proteggersi dal Phishing

Una checklist pratica e ordinata per rafforzare i vostri account contro gli attacchi di phishing.

  1. Usate un gestore di password:Installate un gestore di password affidabile (1Password, Bitwarden, Proton Pass) e lasciate che compili automaticamente le credenziali. Si rifiuterà di compilare su domini simili, dandovi un rilevatore di phishing integrato.
  2. Abilitate la 2FA resistente al phishing:Aggiungete una chiave hardware FIDO2 (YubiKey, Google Titan) o una passkey ai vostri account più importanti — prima l'email, poi banca, cloud storage e gestore di password. Questi sono gli unici metodi 2FA che fermano davvero il phishing moderno.
  3. Non fate mai login dai link delle email:Quando ricevete un'email che vi chiede di accedere, chiudete l'email e navigate al sito manualmente tramite un segnalibro o digitando l'URL. Il link nell'email potrebbe essere un clone perfetto; il segnalibro nel vostro browser non lo è.
  4. Controllate l'esatto dominio prima di digitare:Prima di inserire qualsiasi password, guardate l'URL completo nella barra degli indirizzi. Cercate https, l'ortografia corretta, e nessun sottodominio extra come paypal.com.secure-login.net.
  5. Segnalate e andate avanti:Segnalate il tentativo di phishing al vostro provider email (la maggior parte ha un pulsante "Segnala phishing"). Poi continuate la vostra giornata — il phishing è pericoloso solo se ci cascate, e la consapevolezza è la maggior parte della battaglia.

Frequently Asked Questions

Related Articles

What Is 2fa

Privacy Checklist

Encrypted Email