Ricerca Microsoft Security
Ricerca Microsoft.com

Privacy e Sicurezza online

Proteggi la tua privacy dai furti d’identità. Non cadere vittima di truffe online e via e-mail. Proteggi la tua reputazione.

Come riconoscere i messaggi email o i link di phishing

Come riconoscere i messaggi email o i link di phishing

I messaggi email di phishing sono pensati per rubarti l’identità. Ti chiedono dati personali o ti indirizzano a siti web o spingono a chiamare numeri di telefono dove poi ti viene chiesto di fornire dati personali. Ci sono indizi che ti permettono di individuare i messaggi email fraudolenti e i link che contengono.

Che aspetto ha un messaggio email di phishing?

I messaggi email di phishing possono assumere diverse forme:

  • Può sembrare che provengano dalla banca o dall’istituto finanziario di tua fiducia, da un’azienda con cui hai frequenti rapporti di lavoro, come Microsoft, o dal tuo sito di social networking.

  • Può sembrare che provengano da una persona presente nella tua rubrica.

  • Possono invitarti a fare una telefonata. Le truffe di phishing telefonico ti spingono a chiamare un numero a cui risponde una persona o una segreteria che ti richiede numero di account, PIN, password o altri dati personali preziosi.

  • Possono includere loghi dall’aspetto ufficiale e altre informazioni caratterizzanti prese direttamente da siti web legittimi, nonché particolari convincenti sul tuo passato che i truffatori hanno trovato sulle tue pagine nei social network.

  • Possono includere link a siti web falsi, dove ti viene chiesto di inserire informazioni personali.

Ecco un esempio di come può apparire un tentativo di phishing in un messaggio email.

Esempio di messaggio email di phishing

Esempio di messaggio email di phishing che contiene la minaccia di chiusura dell’account e link dannosi, pensati per convincerti con l’inganno a inserire le tue informazioni di account.

Per far apparire questi messaggi email di phishing ancora più autentici, i truffatori usano una grafica che sembra ricondurre a siti web legittimi (rispettivamente Windows Live Hotmail e Woodgrove Bank) ma in realtà ti reindirizza a un sito truffaldino o anche a una finestra popup dall’apparenza identica a quella del sito ufficiale.

Ecco alcune espressioni utilizzate comunemente nei tentativi di phishing via email:

“Verifica il tuo account”.

Le aziende non dovrebbero chiederti di inviare password, dati di accesso o nomi utente, codice fiscale o altre informazioni personali tramite email.

Se ricevi un messaggio email da Microsoft o da qualsiasi altra azienda che ti chiede di aggiornare i dati della tua carta di credito, non rispondere: è un tentativo di phishing.

“Hai vinto la lotteria”.

La truffa della lotteria è un comune tentativo di phishing, noto anche come frode di pagamento avanzata. Una delle forme più comuni della frode di pagamento avanzata è un messaggio che afferma che hai vinto una grossa somma di denaro o che una persona ti pagherà una grossa somma a fronte di un piccolo favore. La truffa della lotteria contiene spesso riferimenti a importanti aziende, come Microsoft. La lotteria Microsoft non esiste. Per ulteriori informazioni, consulta Cos’è la truffa della lotteria Microsoft?

“Se non rispondi entro 48 ore, il tuo account sarà chiuso”.

Questi messaggi sono pensati per metterti fretta, in modo che tu risponda immediatamente senza pensare. Alcuni messaggi email di phishing possono addirittura sostenere che è necessario che tu risponda perché il tuo account potrebbe essere stato compromesso.

Che aspetto ha un link di phishing?

A volte i messaggi email di phishing ti indirizzano a siti web falsi.

I messaggi con formattazione HTML possono contenere link o moduli, che puoi compilare proprio come compileresti un modulo su un sito web legittimo.

I link di phishing su cui vieni indotto a fare clic in messaggi email, siti web o addirittura messaggi istantanei possono contenere il nome, integrale o parziale, di un’azienda vera e di solito sono mascherati, nel senso che il link che vedi non ti rimanda a quell’indirizzo ma su qualche altro sito, di solito illegale.

Nel prossimo esempio, osserva come posizionando il puntatore del mouse (senza fare clic) sul link rivelerai l’indirizzo web reale, visibile nel riquadro con sfondo giallo. La misteriosa stringa di numeri non ha nulla a che vedere con l’indirizzo web dell’azienda. È un segnale sospetto.

Esempio di indirizzo web mascherato

Esempio di indirizzo web mascherato.

I cybercriminali usano anche indirizzi web che somigliano al nome di aziende conosciute, ma leggermente modificato con l’aggiunta, la rimozione o lo spostamento di alcune lettere. Ad esempio, l’indirizzo "www.microsoft.com" può essere modificato in:

  • www.micosoft.com

  • www.mircosoft.com

  • www.verify-microsoft.com

Questa operazione è detta “typosquatting” o “cybersquatting”.

Per ulteriori informazioni sul phishing, consulta Email e phishing: guida per la protezione del computer.