Riconoscere phishing in 60 secondi

Il phishing e una truffa che prova a farti fare una cosa in fretta: cliccare un link, aprire un allegato, inserire una password, dare un codice o pagare. Il messaggio puo sembrare della banca, della posta, di un corriere, di un collega o persino della polizia. Il punto non e la grafica: il punto e spingerti a reagire senza pensare.

Una mail falsa oggi puo avere logo corretto, nome corretto e tono credibile. Anche il mittente visibile puo ingannare. Per questo il controllo importante non e "mi sembra vera?", ma "posso verificarla senza usare il link ricevuto?". L'NCSC svizzero raccoglie molte segnalazioni di siti sospetti proprio perche le pagine false imitano servizi reali. La Polizia Postale ricorda che banche e servizi seri non chiedono credenziali o codici via email, telefono o SMS.

Prima di cliccare, cerca cinque segnali. Uno: urgenza. Frasi come "conto bloccato", "pagamento in scadenza", "ultimo avviso" servono a toglierti calma. Due: link strani. Passa sopra il link da computer, o tieni premuto da telefono senza aprire: guarda il dominio vero, non il testo colorato. Tre: errori di lingua o formule insolite. Non sempre ci sono, ma quando ci sono pesano.

Quattro: mittente sospetto. Un nome "Banca" non basta se l'indirizzo finisce con un dominio casuale o quasi uguale. Cinque: allegato inatteso. ZIP, HTML, documento con macro o finta fattura sono segnali forti. La Polizia Postale segnala che email fraudolente possono assomigliare alle originali e invita a non aprire allegati se non si e certi della provenienza. Se due segnali sono presenti insieme, fermati.

Primo controllo: guarda il dominio, non il mittente. "paypal.com" e diverso da "paypal-sicurezza.example". Il dominio vero e la parte finale prima dello slash: in "https://login.banca.ch.area-clienti.net/..." il dominio e "area-clienti.net", non "banca.ch". Secondo controllo: non cliccare mai quando puoi andare a mano. Apri il browser, scrivi l'indirizzo ufficiale o usa l'app gia installata.

Terzo controllo: se e urgente, e ancora piu sospetto. Le truffe funzionano perche creano paura. Se ricevi una mail che dice "hai 10 minuti", prenditi 10 minuti in piu. Chiama il numero ufficiale sul retro della carta o sul sito digitato a mano. L'FBI consiglia di cercare da soli il numero dell'azienda e verificare la richiesta tramite canali ufficiali, non usando i contatti nel messaggio sospetto.

Esempio 1: finta email "fax urgente". Secondo un avviso CSIRT Italia, il messaggio invitava ad aprire un fax, ma portava a una falsa pagina Webmail Outlook per rubare la password. Segnale: tema urgente piu link verso login.

Esempio 2: finta banca o carta bloccata. Il messaggio chiede verifica immediata, poi codice SMS o password. Segnale: richiesta di credenziali o codici, cosa che una banca non deve fare via messaggio.

Esempio 3: finto corriere. Ti dice che manca un piccolo pagamento doganale. Segnale: importo basso per abbassare le difese, link breve o dominio non ufficiale. Non servono screenshot perfetti per difendersi: serve una regola semplice. Se il messaggio chiede azione rapida e ti porta fuori dal canale ufficiale, chiudi e verifica a mano.