Il phishing è la tecnica di attacco più usata al mondo. Funziona così: ricevi un'email che sembra provenire da un mittente legittimo (la banca, un fornitore, un collega) e ti chiede di cliccare un link, aprire un allegato o inserire le tue credenziali. Se abbocchi, l'attaccante ottiene accesso ai tuoi sistemi.

Perché funziona così bene

Le email di phishing moderne sono sofisticate. Non sono più il “principe nigeriano” con errori grammaticali. Oggi:

  • Copiano perfettamente il layout delle email di banche, corrieri, fornitori
  • Usano domini che differiscono di una lettera (arnicredit.it invece di unicredit.it)
  • Sanno il tuo nome, la tua azienda, il tuo ruolo
  • Creano urgenza (“il tuo account verrà bloccato tra 24 ore”)

7 segnali per riconoscere un'email di phishing

1. Controlla il mittente reale

Non guardare il nome visualizzato, ma l'indirizzo email completo. “Banca Intesa” che scrive da info@banca-intesa-servizi.xyz non è Banca Intesa. Passa il mouse sul nome del mittente per vedere l'indirizzo reale.

2. Urgenza esagerata

“Azione immediata richiesta”, “Il tuo account sarà chiuso entro 24 ore”, “Pagamento scaduto”. L'urgenza serve a farti agire senza pensare. Le aziende serie non ti danno mai ultimatum via email.

3. Link sospetti

Prima di cliccare qualsiasi link, passa il mouse sopra (senza cliccare) e guarda dove porta realmente. Se il link dice “www.poste.it” ma l'URL reale è “www.p0ste-italiane.ru”, è phishing.

4. Allegati inaspettati

Non aspettavi una fattura? Non aprirla. I formati più pericolosi: .exe, .zip, .js, .docm (Word con macro). Anche un PDF può essere pericoloso se proviene da un mittente sospetto.

5. Errori nel testo

Traduzioni approssimative, accenti mancanti, frasi che “non suonano” come comunicazioni ufficiali. Attenzione però: con l'AI, i phisher producono testi sempre più corretti.

6. Richiesta di credenziali

Nessuna azienda seria ti chiederà mai la password via email. Mai. Se un'email ti chiede di “confermare le credenziali” o “aggiornare la password” cliccando un link, è phishing al 99%.

7. Il “too good to be true”

Hai vinto un premio, hai diritto a un rimborso, un'offerta incredibile solo per te. Se sembra troppo bello per essere vero, non lo è.

Cosa fare in azienda

  • Forma il personale — un corso pratico con esempi reali, non slide teoriche
  • Simula attacchi di phishing — invia finte email di phishing ai dipendenti e misura chi “abbocca”
  • Implementa SPF, DKIM e DMARC — protocolli che verificano l'autenticità delle email in arrivo
  • Attiva il 2FA su tutto — anche se un dipendente inserisce la password su un sito falso, senza il 2FA l'attaccante non entra
  • Crea una procedura chiara — “se ricevi un'email sospetta, non aprire nulla e segnalala a [referente IT]”

Vuoi verificare se la tua azienda è vulnerabile al phishing? Contattaci per una simulazione di phishing aziendale.