Il phishing è un attacco informatico in cui i criminali si spacciano per entità attendibili—come banche, aziende tecnologiche o colleghi—tramite email, messaggi di testo o siti web falsi, per indurti a rivelare informazioni sensibili come password, numeri di carte di credito o dati personali. Rimane una delle forme di criminalità informatica più comuni ed efficaci oggi.

Come posso riconoscere un'email di phishing?

Fai attenzione a un linguaggio urgente o minaccioso, indirizzi mittente sospetti che imitano aziende legittime, saluti generici come "Gentile Cliente," allegati inaspettati e link che non corrispondono all'URL ufficiale del sito web. Passa il cursore sui link prima di cliccarli per visualizzare in anteprima l'indirizzo di destinazione effettivo.

Usare una VPN mi protegge dagli attacchi di phishing?

Una VPN cifra il tuo traffico internet e nasconde il tuo indirizzo IP, ma non può prevenire direttamente gli attacchi di phishing. Il phishing prende di mira il comportamento umano piuttosto che le vulnerabilità della rete. Una VPN è comunque utile per la sicurezza generale, ma dovresti combinarla con strumenti anti-phishing e abitudini di navigazione attente.

Cosa devo fare se ho cliccato accidentalmente su un link di phishing?

Disconnettiti immediatamente da internet, esegui una scansione malware sul tuo dispositivo, cambia le password di qualsiasi account potenzialmente compromesso, attiva l'autenticazione a due fattori e avvisa la tua banca se sono stati inseriti dati finanziari. Segnala il tentativo di phishing al tuo provider email e alle autorità competenti come la FTC o Action Fraud.

Phishing

Phishing: Cos'è e Perché Devi Conoscerlo

Ogni giorno vengono inviati miliardi di email fasulle, messaggi di testo e siti web con un unico obiettivo: indurti a cedere le tue informazioni personali. Questa tecnica si chiama phishing e rimane uno degli attacchi informatici più efficaci e diffusi in circolazione — non perché sia tecnicamente sofisticato, ma perché prende di mira la psicologia umana invece dei sistemi informatici.

Cos'è il Phishing?

Il phishing è una forma di ingegneria sociale in cui un aggressore finge di essere qualcuno di cui ti fidi — la tua banca, un servizio di streaming, il tuo datore di lavoro o persino un'agenzia governativa — per manipolarti e farti compiere un'azione che altrimenti non faresti. Quell'azione potrebbe essere cliccare su un link malevolo, scaricare un allegato infetto o digitare la tua password in una falsa pagina di accesso.

Il nome è un gioco di parole deliberato su "fishing" (pescare). Gli aggressori lanciano un'esca e aspettano di vedere chi abbocca.

Come Funziona il Phishing?

La maggior parte degli attacchi di phishing segue uno schema prevedibile:

L'esca: Ricevi un messaggio che sembra legittimo. Potrebbe imitare un avviso di fatturazione di Netflix, un avviso di sicurezza di PayPal o un'email urgente dal reparto IT della tua azienda.
L'amo: Il messaggio crea un senso di urgenza — il tuo account sta per essere sospeso, c'è un'attività sospetta oppure devi verificare immediatamente la tua identità.
La trappola: Vieni indirizzato a un sito web falso che sembra identico a quello reale. Quando inserisci le tue credenziali, queste finiscono direttamente nelle mani dell'aggressore.

Esistono anche versioni più mirate. Lo spear phishing prevede attacchi personalizzati diretti a individui specifici, spesso utilizzando informazioni raccolte dai social media. Il whaling prende di mira dirigenti di alto profilo. Lo smishing utilizza messaggi di testo SMS, mentre il vishing avviene tramite chiamate vocali.

I moderni siti di phishing spesso usano HTTPS e mostrano l'icona del lucchetto, che molte persone credono erroneamente significhi che un sito è sicuro. Significa solo che la connessione è crittografata — non che il sito stesso sia affidabile.

Perché Questo è Importante per gli Utenti VPN

Un malinteso comune è che l'utilizzo di una VPN protegga dal phishing. Non è così — almeno non direttamente. Una VPN crittografa il tuo traffico internet e nasconde il tuo indirizzo IP, ma non può impedirti di inserire volontariamente le tue credenziali su un sito web falso.

Detto questo, gli utenti VPN non sono del tutto privi di difese:

Alcune VPN includono funzionalità di protezione dalle minacce che bloccano i domini di phishing noti prima ancora che il browser li carichi.
Una VPN può prevenire il DNS hijacking, una tecnica che gli aggressori usano per reindirizzarti silenziosamente a siti web falsi anche quando digiti l'indirizzo corretto.
Usare una VPN su reti Wi-Fi pubbliche previene gli attacchi man-in-the-middle, che a volte vengono utilizzati insieme al phishing per intercettare le credenziali.

Tuttavia, affidarsi esclusivamente a una VPN per la protezione dal phishing ti dà un falso senso di sicurezza. Hai comunque bisogno di una solida igiene digitale.

Esempi dal Mondo Reale

Ricevi un'email da "Apple Support" che ti dice che il tuo account è stato bloccato. Il link ti porta su apple-support-accesso.com — un falso convincente che ruba il tuo Apple ID.
Un messaggio di testo sostiene che la tua banca ha rilevato una frode e ti chiede di chiamare un numero verde. Il numero mette in contatto con un truffatore che si spaccia per uno specialista antifrode.
Un'email aziendale che sembra provenire dalle risorse umane chiede ai dipendenti di accedere a un nuovo portale per i benefit — in realtà una pagina creata per rubare le credenziali.

Come Proteggerti

Controlla sempre l'indirizzo email effettivo del mittente, non solo il nome visualizzato
Passa il cursore sui link prima di cliccarli per vedere l'URL di destinazione reale
Attiva l'autenticazione a due fattori su tutti gli account importanti — anche le password rubate diventano inutili senza il secondo fattore
Usa un password manager, che non compilerà automaticamente le credenziali su siti falsi
In caso di dubbio, vai direttamente al sito ufficiale invece di cliccare su qualsiasi link

Il phishing funziona perché è semplice e scalabile. Capire come opera è la tua prima linea di difesa.

PhishingBase