Che cos'è un messaggio e-mail di phishing?

Scopri cos'è un messaggio e-mail di phishing e come proteggerti da questo tipo di frode online.

Definizione di messaggi e-mail di phishing

Il phishing è un tipo di truffa online in cui i criminali tentano di indurre le persone a fornire informazioni riservate, come password, numeri di carta di credito e dettagli personali. Per farlo, un criminale si finge una persona o un'azienda fidata, come una banca, un'agenzia governativa o un sito Web popolare.

Un messaggio e-mail di phishing è un messaggio fraudolento progettato per sembrare autentico. In genere richiede di fare clic su un collegamento, scaricare un allegato o fornire dettagli personali nel tentativo di rubare informazioni preziose. Questi messaggi e-mail spesso trasmettono un senso di urgenza, ad esempio avvisando che il tuo account è a rischio o offrendo una ricompensa a tempo limitato, per spingerti ad agire rapidamente.

Punti chiave

I messaggi e-mail di phishing sono progettati per rubare informazioni personali fingendo di provenire da fonti legittime.
I segnali comuni dei messaggi e-mail di phishing includono mittenti sospetti, richieste urgenti, saluti generici, allegati inaspettati e richieste di informazioni sensibili.
Se interagisci con un messaggi e-mail di phishing, agisci rapidamente cambiando le password, avvisando le parti interessate e segnalando il messaggio.
Previeni gli attacchi di phishing restando vigile, utilizzando procedure di sicurezza avanzate e mantenendo il software aggiornato con protezione antivirus e filtri per la posta elettronica.
Aiutati a rilevare e prevenire il phishing tramite filtri basati su intelligenza artificiale, rilevamento delle minacce in tempo reale e strumenti di autenticazione a più fattori di Microsoft Security.

Perché comprendere i messaggi e-mail di phishing è importante

Il mondo è più digitale che mai e i messaggi e-mail di phishing sono una delle principali minacce online. I criminali informatici inviano milioni di messaggi e-mail di phishing ogni giorno, prendendo di mira singoli utenti, aziende e persino enti pubblici. Cadere in un cyberattacco, come un messaggio e-mail di phishing, può portare a furti di identità, perdite finanziarie e account compromessi. Nei luoghi di lavoro, un clic sbagliato può compromettere intere reti, causando violazioni dei dati e danni costosi.

Riconoscere i messaggi e-mail di phishing è un'abilità chiave per proteggere se stessi e le proprie informazioni. Gli utenti malintenzionati stanno diventando sempre più bravi a far sembrare reali le loro truffe, ma conoscere i segnali di pericolo può aiutarti a evitarle.

Comprendere il phishing non è utile solo per te, ma anche per mantenere al sicuro il tuo luogo di lavoro, la tua famiglia e i tuoi amici. Più persone riescono a individuare queste truffe, più difficile diventa per i criminali informatici avere successo.

L'evoluzione dei messaggi e-mail di phishing

Il phishing è iniziato negli anni '90, quando i truffatori inducevano le persone a rivelare le loro password di AOL. Con la crescita di Internet, gli attacchi di phishing sono diventati più sofisticati. I criminali hanno iniziato a copiare l'aspetto dei siti Web reali per rubare le credenziali di accesso. Nel corso del tempo, il phishing si è espanso oltre la posta elettronica per arrivare agli SMS (smishing) e alle chiamate telefoniche (vishing). Oggi gli utenti malintenzionati usano messaggi generati dall'intelligenza artificiale e tattiche di ingegneria sociale per rendere le truffe ancora più convincenti.

Nonostante i progressi nella cybersecurity, il phishing rimane una delle minacce online più comuni. Riconoscere i messaggi e-mail di phishing è importante per rimanere al sicuro online.

Come funzionano i messaggi e-mail di phishing

I messaggi e-mail di phishing sono progettati per sembrare provenienti da aziende e persone di cui ti fidi. L'obiettivo è quello di indurti a compiere una determinata azione usando l'inganno e trucchi psicologici.

I criminali informatici progettano con attenzione i messaggi e-mail di phishing in modo che appaiano reali:

Imitano marchi legittimi. Potresti vedere loghi ufficiali, indirizzi e-mail simili e design dall'aspetto professionale.
Usano dettagli personali. Alcune truffe includono il tuo nome, indirizzo e-mail o altre informazioni per rendere il messaggio più autentico.
Incorporano collegamenti falsi. Il messaggio e-mail può contenere collegamenti che sembrano reali, ma in realtà portano a siti Web falsi creati per rubare le tue informazioni.
Aggiungono di allegati dannosi. Alcuni messaggi e-mail di phishing includono file che installano ransomware o altri tipi di malware se vengono aperti.

Trucchi psicologici usati nei messaggi e-mail di phishing

I messaggi e-mail di phishing sfruttano le emozioni delle persone per aumentare le probabilità di successo. Le tattiche comuni includono:

Urgenza. Ad esempio, minacciano di bloccare il tuo account a meno che tu non compia una certa azione.
Paura. Ad esempio, dicendo che il tuo account è stato compromesso.
Curiosità. Ad esempio, inviandoti una ricevuta o una fattura per qualcosa che non hai acquistato.
Incentivi finanziari. Ad esempio, dicendo che hai vinto un omaggio o un buono regalo.
Autorità. Ad esempio, fingendosi qualcuno del reparto IT della tua azienda.

Come identificare un messaggio e-mail di phishing

I messaggi e-mail di phishing possono essere convincenti, ma spesso presentano segnali rivelatori. Ecco a cosa prestare attenzione:

Collegamenti sospetti. Passa il puntatore del mouse sui collegamenti (senza fare clic) per vedere dove si conducono effettivamente. I collegamenti di phishing talvolta contengono errori di ortografia, caratteri aggiuntivi o domini sconosciuti, ad esempio "micros0ft-support.com" anziché "microsoft.com." Se un collegamento sembra strano, non fare clic.
Allegati inaspettati. Presta sempre attenzione agli allegati di posta elettronica, soprattutto se chiedono di abilitare le macro o installare software. Le aziende legittime inviano raramente allegati che non sono stati richiesti.
Linguaggio minaccioso o che comunica urgenza. Frasi che dicono che devi agire immediatamente per evitare la sospensione dell'account ti costringono ad agire per paura. I truffatori si affidano al panico per ottenere risposte rapide.
Richieste di informazioni personali o finanziarie. Nessuna società legittima ti chiederà di fornire password, numeri di carta di credito o numeri di previdenza sociale tramite posta elettronica. In caso di dubbi, contatta direttamente l'azienda attraverso canali ufficiali, non facendo clic nel messaggio e-mail.
Messaggi di saluto generici e mancanza di personalizzazione. I messaggi di phishing a volte usano formule di apertura generiche, ad esempio "Gentile cliente" o "Gentile utente" invece di chiamarti per nome. Le aziende reali in genere personalizzano i messaggi e-mail.
Errori grammaticali e ortografici. Molti messaggi e-mail di phishing contengono formulazioni strane, errori di digitazione o parole insolite. Le organizzazioni professionali revisionano i loro messaggi e-mail, quindi questi tipi di errori possono essere un campanello d'allarme.
Indirizzi del mittente non corrispondenti. Controlla attentamente l'indirizzo e-mail del mittente. I truffatori useranno indirizzi simili a quelli reali, ma con piccole differenze, ad esempio "support@micr0soft.com" invece di "support@microsoft.com".

Cinque esempi di messaggi e-mail di phishing

Esplora questi esempi di tentativi comuni di phishing per comprendere meglio come si presentano.

1. Avviso di sicurezza falso

Riga dell'oggetto: Rilevato tentativo di accesso insolito - Azione necessaria!

Un messaggio e-mail di phishing che finge di provenire da un servizio noto, come la tua banca o il tuo provider di posta elettronica, avvisa che qualcuno ha tentato di accedere al tuo account. Include un collegamento per "proteggere" l'account, ma il collegamento porta a una pagina di accesso falsa, progettata per rubare le credenziali.

Campanelli d'allarme:

Il messaggio e-mail non menziona dove è avvenuto il tentativo di accesso (nessuna informazione su posizione o dispositivo).
Il collegamento per "proteggere il tuo account" porta a un dominio leggermente diverso dal sito Web reale dell'azienda.
L'indirizzo del mittente è qualcosa come "security-alerts@accounts-support.com" invece del dominio ufficiale dell'azienda.

2. Falsa fattura o richiesta di pagamento

Oggetto: Fattura #38491 allegata - pagamento dovuto immediatamente

Questo tipo di messaggio e-mail di phishing afferma che devi pagare per un servizio che non hai mai utilizzato. Ti costringe ad aprire una fattura allegata o a fare clic su un collegamento per controllare l'addebito. L'allegato potrebbe contenere malware o il collegamento potrebbe portare a una pagina di pagamento falsa.

Campanelli d'allarme:

Il messaggio e-mail è inaspettato. Le aziende legittime non inviano fatture a sorpresa.
La fattura è in un formato sospetto, come un file ZIP o un documento che ti chiede di abilitare le macro.
Non ci sono informazioni chiare su chi ha inviato la fattura, nessun nome dell'azienda né dettagli di contatto.

3. "Hai vinto un premio!" truffa

Oggetto: Congratulazioni! Sei stato selezionato per un buono regalo di 500 USD

Questo messaggio e-mail di phishing indica che hai vinto un premio e devi semplicemente "verificare i tuoi dettagli" per ottenerlo. Ti chiede informazioni personali o ti indirizza a un modulo che ruba i tuoi dati.

Campanelli d'allarme:

Non hai mai partecipato a un concorso e questo rende la vincita sospetta.
Il messaggio e-mail chiede dettagli personali, come il tuo indirizzo, numero di telefono o informazioni sulla carta di credito.
L'indirizzo di posta elettronica del mittente è un account Gmail o Yahoo generico anziché un dominio aziendale.

4. Truffa del CEO (compromissione della posta elettronica aziendale)

Oggetto: Richiesta rapida -Mi serve il tuo aiuto al più presto

Questo tentativo di phishing sul posto di lavoro prende di mira i dipendenti di un'azienda fingendo di provenire dal loro capo, da un dirigente senior o dalle risorse umane. Il messaggio e-mail chiede al destinatario di acquistare buoni regalo, trasferire denaro o fornire dati sensibili dell'azienda. Gli utenti malintenzionati in genere effettuano lo spoofing dell'indirizzo e-mail di un manager o usano un indirizzo simile con una piccola differenza.

Campanelli d'allarme:

Il messaggio e-mail è urgente e vago, senza contesto precedente.
L'indirizzo del mittente è leggermente diverso da quello del dirigente reale, ad esempio "ceo@companyname.co" anziché "ceo@companyname.com".
La richiesta è insolita: la maggior parte delle aziende ha processi formali per le transazioni finanziarie.

5. Falsa richiesta di reimpostazione della password da parte del reparto IT

Oggetto: Avviso IT: la tua password e-mail scadrà oggi

Questo messaggio e-mail dichiara di provenire dal team IT della tua azienda, che ti dice di reimpostare immediatamente la tua password. Il collegamento fornito porta a una pagina di accesso falsa che ruba le tue credenziali.

Campanelli d'allarme:

Il messaggio e-mail non segue lo stile di comunicazione IT consueto dell'azienda.
L'indirizzo e-mail del mittente non fa parte del dominio aziendale ufficiale.
Il supporto IT di solito non chiede ai dipendenti di reimpostare le password tramite collegamenti nei messaggi e-mail. Le aziende tendono invece a usare portali interni.

Cosa fare se ricevi un messaggio e-mail di phishing

Se ricevi un messaggio e-mail di phishing, non farti prendere dal panico, ma non interagire con il messaggio. Segui questi passaggi per proteggere te stesso e gli altri.

1. Non fare clic su collegamenti e non aprire allegati

Evita di fare clic su collegamenti, scaricare allegati o rispondere al messaggio.
Anche se il messaggio sembra convincente, interagire con esso potrebbe provocare l'introduzione di malware o il furto di informazioni.

2. Verifica il mittente

Controlla attentamente l'indirizzo e-mail del mittente. Se qualcosa sembra strano, come un errore di ortografia o un dominio sconosciuto, probabilmente si tratta di una truffa.
Se il messaggio e-mail afferma di provenire da un'azienda, vai direttamente al sito ufficiale dell'azienda invece di utilizzare i collegamenti forniti.

3. Segnala il messaggio e-mail di phishing

Se hai ricevuto il messaggio al lavoro, inoltralo al team IT o di sicurezza.
Negli Stati Uniti, segnala il phishing alla Federal Trade Commission (FTC) o inoltra il messaggio e-mail a phishing-report@us-cert.gov.

4. Contrassegnare il messaggio e-mail come posta indesiderata ed eliminalo

Molti servizi di posta elettronica hanno un'opzione "Segnala phishing" che consente di migliorare i filtri per la posta indesiderata. Se questa opzione non viene visualizzata, segnala il messaggio come posta indesiderata.
Se il tuo provider di posta elettronica non sposta automaticamente il messaggio nel cestino dopo la segnalazione, eliminalo per non aprirlo accidentalmente.

Passi da eseguire se hai interagito con un messaggio e-mail di phishing

Se hai interagito con un messaggio e-mail di phishing, facendo clic su un collegamento, scaricando un allegato o fornendo informazioni personali, devi agire rapidamente per limitare i danni. Ecco cosa fare.

1. Prendi nota di ciò che hai condiviso

Se hai inserito la tua password, i dettagli bancari o informazioni personali, annota ciò che hai condiviso.
Questo ti aiuterà a determinare cosa deve essere protetto e chi avvisare.

2. Cambia immediatamente le password

Aggiorna tutte le password che potresti aver condiviso, specialmente per conti bancari, e-mail o account aziendali.
Se usi la stessa password per altri siti, cambiala anche lì.
Usa password complesse e uniche e abilita l'autenticazione a più fattori per una maggiore sicurezza.

3. Informa le persone che devono sapere

Se il messaggio e-mail di phishing prendeva di mira il tuo account aziendale, avvisa il team IT o di sicurezza.
Se hai fornito dettagli finanziari, contatta la tua banca o la compagnia della carta di credito per monitorare le transazioni e congelare il tuo conto se necessario.
Fai sapere a amici, familiari e colleghi cosa è successo se la truffa potrebbe influenzarli (ad esempio, se gli aggressori potrebbero usare il tuo account compromesso per inviare messaggi e-mail di phishing a loro).

4. Segnala l'attacco di phishing

Se hai perso denaro o ti sono stati rubati dati sensibili, segnala l'attacco alla FTC.
Se si è verificata una frode finanziaria, contatta le forze dell'ordine locali.
Contrassegna il messaggio come tentativo di phishing o posta indesiderata tramite il tuo provider di posta elettronica per aiutare a bloccare attacchi simili.

5. Aspettati tentativi di phishing successivi

I truffatori spesso prendono di mira nuovamente le vittime usando i dati rubati per inviare nuovi messaggi e-mail, SMS o chiamate di phishing.
Fai particolare attenzione ai messaggi che affermano di aiutarti a recuperare il tuo account o che richiedono ulteriori informazioni personali.

Cosa succede se sei stato vittima di phishing?

Essere vittima di un attacco di phishing può avere conseguenze gravi che influenzano sia i singoli individui che le organizzazioni. Ecco alcuni potenziali effetti.

Furto di identità

I truffatori rubano informazioni personali, come numeri di previdenza sociale, indirizzi e date di nascita, per impersonare le vittime. In questo modo possono ad esempio aprire conti di credito o commettere reati a nome della vittima.

Perdite finanziarie

L'accesso a dati finanziari privati, come dettagli del conto bancario o numeri di carta di credito, può comportare transazioni non autorizzate e perdite monetarie significative. Ad esempio, una sofisticata truffa di phishing tramite fattura che ha preso di mira Google e Facebook tra il 2013 e il 2015 ha causato perdite per 100 milioni di dollari.

Compromissione di informazioni sensibili

Gli attacchi di phishing possono esporre dati riservati, inclusi segreti aziendali e comunicazioni personali. Nel 2021, un messaggio e-mail di phishing ha portato all'attacco della Colonial Pipeline, che ha causato una grave interruzione della fornitura di carburante negli Stati Uniti.

Danni alla reputazione

Le organizzazioni colpite da attacchi di phishing potrebbero subire danni a lungo termine alla reputazione. Clienti e partner potrebbero perdere fiducia, specialmente se i loro dati sono stati compromessi. Questa perdita di fiducia può avere effetti duraturi sulle relazioni commerciali, sulle finanze e sulla percezione pubblica.

Prevenzione di un attacco di phishing via e-mail

Anche se i messaggi e-mail di phishing possono essere convincenti, esistono comunque modi per proteggerti restando vigile e seguendo le procedure consigliate per la sicurezza della posta elettronica.

Presta attenzione a tutti i messaggi e-mail che richiedono un'interazione

Analizza sempre attentamente i messaggi e-mail prima di fare clic sui collegamenti o scaricare gli allegati.
Prima di interagire, fatti queste domande:
- Questo messaggio e-mail ha senso? Me l'aspettavo?
- L'indirizzo email del mittente è corretto?
- Ci sono richieste urgenti o minacce che mi spingono ad agire in fretta?
- La grammatica e il tono sono professionali?
Se qualcosa sembra strano, verifica il messaggio e-mail con il mittente usando un metodo di contatto affidabile.

Aumenta la sicurezza della posta elettronica

Usa filtri per la posta elettronica per bloccare i messaggi di phishing noti.
Contrassegna i messaggi e-mail sospetti come posta indesiderata per migliorare i filtri.
Non fare mai clic sui collegamenti o scaricare allegati da origini sconosciute o impreviste.

Mantieni aggiornati il software e gli strumenti di sicurezza

Installa software antivirus e assicurati che sia aggiornato per rilevare le minacce di phishing.
Abilita gli aggiornamenti automatici per il tuo sistema operativo, il i Web browser e le app di posta elettronica per correggere le vulnerabilità di sicurezza.

Usa l'autenticazione a più fattori

L'attivazione dell'autenticazione a più fattori per gli account online aggiunge un ulteriore livello di sicurezza richiedendo un secondo passaggio (ad esempio un codice inviato al telefono) prima di accedere.
Anche se utenti malintenzionati rubano la tua password, non potranno accedere all'account senza il secondo fattore.

Rimani un passo avanti rispetto al phishing con Microsoft Security

Man mano che i tentativi di phishing diventano più sofisticati usando messaggi e-mail generati dall'intelligenza artificiale, ingegneria sociale e persino tecnologia deep fake, fortunatamente diventano più sofisticate anche le soluzioni Microsoft Security che li rilevano e li prevengono.

Combinando la consapevolezza con strumenti di sicurezza affidabili, potrai evitare i messaggi di phishing e proteggere i dati personali e aziendali.

RISORSE

Scopri di più su Microsoft Security

Una donna e un uomo lavorano con un tablet

Soluzione

Piattaforma unificata per le SecOps basata su intelligenza artificiale

Combina le tue operazioni per la sicurezza (SecOps) attraverso la prevenzione, il rilevamento e la risposta con una piattaforma basata su intelligenza artificiale.

Scopri di più

Accedi al portale di protezione dalle minacce

Scopri come le organizzazioni stanno utilizzando le funzionalità di rilevamento e reazione estese (XDR) e le informazioni di sicurezza e gestione degli eventi (SIEM) per diventare più resilienti contro gli attacchi.