Link sospetti: procedura prima del clic
Una procedura pratica prima del clic per leggere domini, sottodomini, URL abbreviati, QR code e coerenza della richiesta.
Obiettivi e quadro pratico
Al termine di questo modulo, il partecipante sarà in grado di:
- 01
capire perché i link sono uno degli strumenti più usati negli attacchi digitali.
- 02
riconoscere i canali da cui può arrivare un link pericoloso.
- 03
distinguere testo visibile, indirizzo reale, dominio, sottodominio e percorso.
- 04
riconoscere domini ingannevoli, URL abbreviati, HTTPS fuorviante e QR code rischiosi.
- 05
applicare una procedura ripetibile prima di cliccare o scansionare.
- 06
sapere cosa fare dopo aver cliccato, inserito dati o scaricato un file sospetto.
9.1 Introduzione
In molti attacchi digitali compare un elemento ricorrente: il link. Lo usiamo ogni giorno per aprire siti, documenti, pagamenti, video, aree riservate, moduli, file cloud e servizi online. Proprio perché è normale cliccare, il link è uno strumento molto efficace per gli attaccanti.
Un link può portare a una pagina falsa, un sito che imita una banca, una falsa pagina di accesso email, un finto portale cloud, un download malevolo, un modulo per rubare dati o una pagina di pagamento fraudolenta.
Il problema principale è che un link non va giudicato solo da come appare nel messaggio. Il testo visibile può dire “accedi al tuo conto”, ma l’indirizzo reale può portare altrove. Nei pulsanti, nelle email grafiche e nei documenti questo inganno è molto comune.
Prima di cliccare, non chiederti solo “sembra vero?”. Chiediti “dove mi porta davvero e perché dovrei andarci da questo messaggio?”.
9.2 Da dove possono arrivare i link
Un link sospetto può arrivare da email, SMS, WhatsApp, Telegram, Messenger, Instagram, Facebook, LinkedIn, TikTok, pubblicità online, QR code, documenti PDF, file Word, presentazioni, siti web, motori di ricerca, chat aziendali, ticket, calendari condivisi, inviti a riunioni, notifiche cloud e firme email compromesse o imitate.
Il fatto che arrivi da un canale conosciuto non lo rende automaticamente sicuro. Può arrivare da un contatto reale il cui account è stato compromesso, da un profilo falso che imita una persona conosciuta o da un messaggio costruito per sembrare ufficiale.
Per questo il link va valutato insieme al contesto: chi lo manda, se era atteso, che cosa chiede, quanto è urgente e dove porta.
Un link arrivato da una persona conosciuta può essere pericoloso se l’account della persona è stato compromesso o se il messaggio è stato inoltrato senza controllo.
9.3 Perché i link sono pericolosi
I link sono pericolosi perché portano la persona in un ambiente controllato dall’attaccante. Una volta aperto il link, l’utente può essere spinto a inserire username e password, codici OTP, dati personali, dati bancari, documenti riservati o a scaricare file e installare app.
Molti attacchi non cercano di infettare subito il computer. Cercano prima di convincere la persona a compiere un’azione: accedere, confermare, pagare, scaricare, compilare o autorizzare.
Un link verso una falsa pagina Microsoft 365, Google, banca o cloud aziendale può essere graficamente molto credibile. Il danno nasce quando la persona inserisce le credenziali e le consegna all’attaccante.
Link verso il posto sbagliato
Il link non “rompe” il computer: ti porta nel posto sbagliato e ti convince a fare lì un’azione che avresti dovuto fare solo sul sito vero.
9.4 Il testo del link può ingannare
Un link può mostrare un testo diverso dall’indirizzo reale. Il pulsante può dire “scarica fattura”, “apri documento”, “conferma pagamento”, “traccia pacco” o “verifica account”, ma il collegamento dietro può puntare a un dominio completamente diverso.
Da computer spesso si può passare con il mouse sopra il link senza cliccare per vedere l’indirizzo di destinazione. Questo aiuta, ma non risolve tutto: alcuni indirizzi sono lunghi, confusi o costruiti per sembrare legittimi.
Da smartphone il controllo è più difficile perché lo schermo è piccolo e l’indirizzo completo non sempre è visibile. Per questo, sui servizi importanti, è più sicuro non partire dal link ricevuto.
Fidarsi del testo visibile del pulsante. Quello che conta è l’indirizzo reale, non l’etichetta grafica.
9.5 Capire la struttura di un indirizzo web
Per valutare un link bisogna capire almeno le parti principali di un indirizzo. In `https://area-clienti.bancaesempio.it/documenti/login`, il protocollo è `https://`, il sottodominio è `area-clienti`, il dominio principale è `bancaesempio.it` e il percorso è `/documenti/login`.
La parte più importante è il dominio principale. Gli attaccanti cercano spesso di confondere usando indirizzi lunghi, parole rassicuranti o nomi di servizi reali messi nel posto sbagliato.
Un indirizzo come `https://bancaesempio.it.accesso-sicuro.com/login` può sembrare legato a `bancaesempio.it`, ma il dominio reale è `accesso-sicuro.com`. La parte iniziale è costruita per confondere.
Se non riesci a capire con certezza il dominio reale, non usare quel link per inserire credenziali o dati. Apri il servizio dal sito ufficiale.
9.5.1 Dominio principale e sottodominio
Il dominio principale identifica davvero il sito. In `https://login.microsoft.com`, il dominio principale è `microsoft.com` e `login` è un sottodominio. In `https://microsoft.com.sicurezza-account.net`, invece, il dominio principale è `sicurezza-account.net`.
Questa tecnica funziona perché l’occhio vede subito il nome del servizio conosciuto e lo interpreta come segnale di fiducia. In realtà il nome può essere solo una parte costruita per ingannare.
Per utenti non tecnici, la soluzione più sicura non è analizzare ogni URL complesso, ma evitare link ricevuti per servizi importanti e accedere manualmente dal sito o dall’app ufficiale.
Accesso da link ricevuto
Se devi entrare in email, banca, cloud o gestionale, non cercare di indovinare se il link è giusto. Usa un preferito salvato o digita l’indirizzo.
9.5.2 HTTPS non significa automaticamente sicuro
Molte persone pensano che il lucchetto o `https://` significhino sito sicuro. È un equivoco. HTTPS indica che la comunicazione tra il dispositivo e quel sito è cifrata, ma non garantisce che il sito sia legittimo.
Anche un sito falso può avere HTTPS. La connessione può essere protetta mentre la pagina è comunque controllata dall’attaccante. Il lucchetto dice qualcosa sulla connessione, non sull’onestà del sito.
HTTPS è necessario, ma non basta. Bisogna controllare dominio, contesto, richiesta e canale da cui il link è arrivato.
Un sito falso con lucchetto resta un sito falso. Non inserire dati solo perché vedi HTTPS.
9.5.3 Domini ingannevoli
I domini ingannevoli imitano quelli reali con sostituzioni di lettere, trattini, estensioni diverse, parole rassicuranti o nomi molto lunghi. `rn` può sembrare `m`, una `l` minuscola può sembrare una `I`, uno zero può sembrare una `o`. Un dominio come `banca-esempio-sicurezza.it` può sembrare ufficiale senza esserlo.
Parole come sicurezza, verifica, account, login, clienti, supporto, conferma, aggiornamento, pagamento e documento vengono spesso aggiunte per creare fiducia. Ma una parola rassicurante nel dominio non prova nulla.
Gli indirizzi molto lunghi sono particolarmente insidiosi perché nascondono la parte importante e spostano l’attenzione su parole familiari.
Per i servizi critici, non accettare domini “quasi uguali”. Usa solo l’indirizzo ufficiale già noto.
9.5.4 Sottodomini fuorvianti
I sottodomini possono essere usati per confondere. `https://login.serviziovero.com` può essere legittimo se il dominio principale è `serviziovero.com`. Ma `https://serviziovero.com.login-sicuro.net` ha come dominio principale `login-sicuro.net`.
La parte `serviziovero.com` è presente, ma non è il dominio principale. L’attaccante conta sul fatto che l’utente legga solo la prima parte dell’indirizzo.
Quando il link è importante, non serve fare una gara di analisi. Se hai dubbi, non cliccare e raggiungi il servizio dal canale ufficiale.
Dominio reale nascosto
Un nome noto all’inizio dell’URL non basta: devi capire chi controlla davvero il dominio principale.
9.5.5 URL abbreviati
Gli URL abbreviati, come quelli generati da servizi tipo bit.ly o simili, nascondono l’indirizzo reale. Non sono sempre pericolosi: vengono usati anche in campagne marketing o social. Il problema è che non si vede subito dove portano.
Quando un URL abbreviato arriva in un messaggio inatteso, soprattutto se riguarda banca, email, cloud, SPID/CIE, gestionali o pagamenti, va trattato con cautela. Non è adatto per inserire credenziali o dati sensibili.
Se possibile si verifica l’anteprima del link, ma per i servizi importanti la scelta più semplice resta aprire manualmente il sito ufficiale.
Un link corto non è un link più sicuro. È solo un link con la destinazione meno visibile.
9.5.6 Link nei risultati dei motori di ricerca
Non tutti i link pericolosi arrivano via messaggio. A volte l’utente cerca un servizio su un motore di ricerca e clicca il primo risultato, magari sponsorizzato o creato per imitare il sito reale.
È rischioso cercare in modo generico “login banca”, “accesso email”, “supporto tecnico” o “download programma” e fidarsi del primo risultato. Un sito falso può usare nome, grafica e annunci per sembrare ufficiale.
Per banca, email, cloud, gestionali e software importanti è meglio usare preferiti, app ufficiali o indirizzi già verificati. I programmi vanno scaricati solo da siti ufficiali.
Pensare che il primo risultato di ricerca sia automaticamente quello corretto.
9.5.7 Link nei documenti PDF, Word e presentazioni
Un link può essere nascosto anche dentro un documento PDF, Word, una presentazione, una finta fattura, un modulo online o un file cloud. Il documento può dire “clicca qui per visualizzare il dettaglio completo” o “accedi al portale”, ma il link può portare a una pagina falsa.
Il fatto che il link sia dentro un documento non lo rende più sicuro. Anzi, spesso il documento serve proprio a dare un’apparenza professionale alla truffa.
Apri solo documenti attesi, verifica il mittente, controlla il dominio dei link interni e non inserire credenziali dopo link contenuti in documenti inattesi.
Un PDF può sembrare statico e innocuo, ma i link al suo interno possono portarti fuori dal documento e dentro una pagina controllata dall’attaccante.
9.5.8 Link nelle chat aziendali e nei calendari
Anche strumenti aziendali apparentemente affidabili possono veicolare link rischiosi: chat interne, ticket, calendari condivisi, inviti a riunioni, piattaforme di collaborazione, commenti in documenti cloud e notifiche automatiche.
Un attaccante può compromettere l’account di un collega, creare un invito falso, inserire un link in una descrizione di calendario o usare un account esterno con nome simile a quello di una persona interna.
Il criterio resta lo stesso: il link era atteso? Il mittente è coerente? Il dominio è quello giusto? Mi chiede credenziali? Posso arrivare allo stesso contenuto dal canale ufficiale?
I canali aziendali riducono alcuni rischi, ma non trasformano ogni link in un link sicuro.
9.5.9 QR code: link nascosti in forma grafica
Un QR code è un link in forma grafica. È comodo per menu, biglietti, eventi, pagamenti, documenti e informazioni commerciali, ma prima di scansionarlo non si vede chiaramente dove porta.
Può essere usato per truffe: adesivi sovrapposti a QR originali, falsi avvisi di pagamento, QR in email di phishing, volantini sospetti, app non ufficiali o false pagine di login.
Dopo la scansione bisogna controllare l’indirizzo prima di inserire dati. Per pagamenti e servizi importanti è meglio usare app ufficiali o siti già noti.
9.5.10 Link ricevuti via SMS: regola severa
I link ricevuti via SMS sono particolarmente rischiosi perché imitano spesso banche, corrieri, servizi pubblici, app di pagamento, operatori telefonici, e-commerce e servizi di identità digitale.
La regola pratica è severa: non cliccare link ricevuti via SMS per inserire dati, credenziali o informazioni bancarie. Se il messaggio sembra importante, apri l’app ufficiale, digita manualmente il sito, controlla l’area riservata o chiama il numero ufficiale.
Lo smartphone rende il controllo più difficile e gli SMS spingono a reagire in fretta. Proprio per questo serve una regola semplice e stabile.
Se arriva un SMS che dice che la carta è bloccata, non usare il link. Apri l’app della banca o chiama il numero ufficiale.
9.5.11 Link ricevuti da persone conosciute
Un link può essere pericoloso anche se arriva da una persona conosciuta. L’account può essere compromesso, il profilo può essere falso, la persona può aver inoltrato senza verificare o un malware può aver generato il messaggio.
I segnali da osservare sono messaggio fuori tono, link senza spiegazione, urgenza, curiosità provocatoria, richiesta di credenziali, testo generico o file non atteso.
Non bisogna cliccare automaticamente. Si può chiedere conferma alla persona su un altro canale e, se il link chiede password, fermarsi subito.
Documento urgente da verificare
“Apri questo documento, è urgente” da un collega può essere legittimo, ma se non aspettavi nulla e la pagina chiede login, va verificato.
9.6 Procedura pratica: ricevo un link, cosa faccio?
La procedura prima del clic deve diventare un’abitudine. Non serve essere tecnici: serve fare sempre le stesse domande nel giusto ordine.
Il dubbio è già un motivo valido per fermarsi. Un link legittimo può quasi sempre essere recuperato anche da un canale ufficiale.
9.6.1 Cosa fare se hai già cliccato
Cliccare un link sospetto non significa automaticamente che il danno sia fatto. Dipende da cosa è successo dopo. Se hai solo aperto la pagina, chiudila, non inserire dati, non scaricare file, non concedere permessi e segnala il messaggio se riguarda il lavoro.
Se hai inserito username e password, cambia subito la password da un dispositivo sicuro, cambia anche le password duplicate, revoca sessioni attive, controlla accessi recenti, verifica MFA e avvisa il referente IT se è un account aziendale.
Se hai inserito dati bancari o carta, contatta subito la banca tramite canale ufficiale, blocca carta o operazioni se necessario, controlla i movimenti e conserva prove del messaggio. Se hai scaricato o aperto un file, non continuare come se nulla fosse: avvisa chi di competenza e fai controllare dispositivo o file.
Dopo un clic sospetto, la cosa peggiore è nascondere l’errore. Segnalare presto riduce il danno.
9.7 Buone abitudini per ridurre il rischio
Alcune abitudini riducono molto il rischio: usare preferiti per banca, email, cloud e gestionali; non cliccare link via SMS; non inserire password dopo link inattesi; controllare il dominio; non fidarsi solo di logo e grafica; evitare URL abbreviati per servizi importanti; verificare su canale diverso; usare MFA e mantenere browser e sistema aggiornati.
In azienda è importante formare chi riceve molti messaggi esterni e definire procedure per fatture, documenti, link cloud, pagamenti e richieste urgenti.
SMS con accesso sospetto
Arriva un SMS: “Accesso sospetto rilevato. Verifica subito il tuo conto”. Il comportamento corretto è non cliccare, aprire l’app ufficiale della banca, controllare notifiche reali e chiamare il numero ufficiale se necessario.
I link via SMS vanno trattati come altamente rischiosi. Anche se sembrano arrivare da banca, corriere o servizio pubblico, usa app, sito digitato manualmente o contatto ufficiale.
Procedura prima del clic
Costruisci una procedura personale in sette passaggi per i link inattesi: mittente, urgenza, dominio, canale, sito ufficiale, decisione di non cliccare e segnalazione.
I link sono uno dei principali strumenti usati negli attacchi informatici. Possono arrivare da email, SMS, chat, social, documenti, QR code, calendari o piattaforme aziendali e portare a pagine false, download malevoli o moduli per rubare dati. La regola da portare con sé è semplice: prima di cliccare, chiediti se aspettavi quel link, chi lo ha mandato, dove porta davvero e se puoi arrivare allo stesso contenuto da un canale ufficiale.