The PracticalCyberSecGuide

Phishing, smishing, vishing e truffe digitali

Email, SMS, telefonate, chat e QR code letti come segnali da collegare: mittente, tono, link, allegati e richieste fuori contesto.

Brief operativo

Obiettivi e quadro pratico

Al termine di questo modulo, il partecipante sarà in grado di:

  1. 01

    spiegare phishing, smishing, vishing e QR phishing con esempi chiari.

  2. 02

    riconoscere segnali di allarme in email, SMS, telefonate, chat e QR code.

  3. 03

    distinguere phishing generico, spear phishing e Business Email Compromise.

  4. 04

    valutare link, allegati, mittenti, domini e richieste economiche con metodo.

  5. 05

    applicare procedure pratiche davanti a messaggi sospetti personali o aziendali.

  6. 06

    riconoscere truffe su pacchi, banche, rimborsi, pagamenti, sentimenti e investimenti.

8.1 Introduzione

Phishing e truffe digitali sono spesso l’applicazione pratica di OSINT e ingegneria sociale. L’attaccante raccoglie informazioni, costruisce un contesto credibile e invia un messaggio che spinge la persona a compiere un’azione pericolosa.

Un messaggio fraudolento può usare loghi, colori, nomi reali, riferimenti a banche, corrieri, fornitori, clienti, colleghi, piattaforme cloud, fatture, pagamenti o documenti condivisi. Non bisogna immaginare il phishing solo come un’email scritta male: molti tentativi sono curati e realistici.

Per questo non basta l’impressione visiva. Una pagina può sembrare professionale, un logo può essere copiato, un tono può apparire corretto e un allegato può avere un nome plausibile. La verifica deve riguardare canale, mittente, dominio, richiesta e contesto.

Nota

Se un messaggio ti chiede dati, password, codici, denaro o azioni urgenti, non valutarlo solo per come appare. Valutalo per ciò che ti chiede di fare.

8.2 Che cos’è il phishing

Il phishing è una truffa digitale in cui l’attaccante finge di essere un soggetto affidabile per convincere la vittima a fare qualcosa di rischioso. Può imitare una banca, un corriere, un servizio email, un social network, un cloud, un ente pubblico, un fornitore, un cliente, un collega, un responsabile, un e-commerce o un supporto tecnico.

L’obiettivo può essere rubare credenziali, ottenere codici OTP, far scaricare malware, far aprire allegati, raccogliere dati personali, far eseguire pagamenti, modificare IBAN, autorizzare accessi o raccogliere informazioni per attacchi successivi.

Il phishing può arrivare via email, ma anche tramite SMS, telefonate, social network, chat, QR code, pubblicità e messaggi dentro piattaforme apparentemente legittime.

Attenzione

Il phishing non è definito dal canale, ma dall’inganno: qualcuno finge affidabilità per farti fare qualcosa che non faresti se conoscessi il vero contesto.

8.3 Perché il phishing funziona

Il phishing funziona perché sfrutta fiducia, urgenza e abitudine. La fiducia nasce quando il messaggio sembra arrivare da un soggetto conosciuto. L’urgenza spinge ad agire prima di controllare. L’abitudine porta a cliccare, aprire allegati o inserire credenziali come parte del lavoro quotidiano.

Una persona abituata a ricevere documenti cloud può cliccare su “apri documento” senza controllare il dominio. Un ufficio amministrativo abituato a ricevere fatture può aprire un allegato inatteso. Chi aspetta un pacco può cliccare un SMS del corriere senza pensarci.

Molti phishing moderni sono efficaci proprio perché imitano attività normali. Non cercano sempre di sembrare straordinari; spesso cercano di sembrare routine.

Errore

Cercare solo errori grammaticali o grafiche brutte. Un phishing può essere scritto bene, avere logo corretto e sembrare professionale.

8.3.1 Phishing via email

Il phishing via email può presentarsi come falsa comunicazione bancaria, falsa fattura, sollecito di pagamento, documento condiviso, avviso di sicurezza, comunicazione del corriere, messaggio di un fornitore, falsa PEC, avviso cloud o richiesta del capo.

I segnali di allarme più comuni sono mittente simile ma non identico, dominio strano, richiesta urgente, allegato inatteso, link esterno, richiesta di password o dati, richiesta di pagamento, tono insolito, minacce di sospensione, rimborsi inattesi e promesse troppo convenienti.

Il comportamento corretto è non cliccare subito, non aprire allegati inattesi, controllare il mittente reale, accedere manualmente al servizio ufficiale, chiedere conferma tramite un canale diverso e segnalare l’email se sospetta.

8.3.2 Smishing: phishing via SMS

Lo smishing è phishing via SMS. È pericoloso perché gli SMS vengono letti velocemente, spesso dallo smartphone, e imitano messaggi che le persone sono abituate a ricevere da banche, corrieri, servizi pubblici e piattaforme digitali.

Messaggi come “il pacco è in attesa”, “accesso sospetto al conto”, “carta bloccata”, “paga una piccola commissione” o “aggiorna i dati” cercano di portare la persona su una pagina falsa.

La regola pratica è severa: i link ricevuti via SMS non vanno usati per inserire dati, password o informazioni bancarie. Se il messaggio sembra importante, apri l’app ufficiale o digita manualmente il sito ufficiale.

Buona pratica

Per banche, corrieri, SPID/CIE e servizi importanti, parti sempre dall’app ufficiale o dal sito digitato da te, non dal link ricevuto.

8.3.3 Vishing: truffe via telefono

Il vishing è phishing tramite telefonata. L’attaccante può fingersi operatore della banca, tecnico informatico, supporto digitale, operatore antifrode, corriere, ente pubblico, fornitore, cliente, collega o responsabile aziendale.

Gli obiettivi tipici sono ottenere codici OTP, far autorizzare operazioni bancarie, far installare software di controllo remoto, ottenere password, raccogliere dati personali o convincere la vittima a spostare denaro.

I segnali di allarme sono chiamata inattesa, tono urgente, richiesta di codici, richiesta di password, richiesta di installare app, pressione a restare in linea, minaccia di blocco del conto e invito ad agire subito.

Attenzione

Una banca o un servizio serio non dovrebbe chiederti password completa o codici OTP per telefono. Se succede, chiudi e richiama usando un numero ufficiale già noto.

8.3.4 Phishing via social network e chat

Il phishing può arrivare tramite WhatsApp, Telegram, Messenger, Instagram, Facebook, LinkedIn, TikTok, chat aziendali e piattaforme di collaborazione. Spesso sembra arrivare da una persona conosciuta, ma l’account può essere compromesso o il profilo copiato.

Messaggi come “sei tu in questo video?”, “guarda questa foto”, “verifica il tuo account”, “ho cambiato numero”, “vota per me” o “apri questo documento” sfruttano familiarità e rapidità del canale.

Non bisogna inserire credenziali social da link ricevuti in chat, comunicare codici o fidarsi solo di nome e foto profilo. Se il messaggio è insolito, si verifica con il contatto tramite un canale diverso.

Esempio

Link sospetto inviato da un amico

Un amico invia un link con scritto “sei tu?”. Se il suo account è stato compromesso, quel messaggio può portare a una pagina falsa per rubare credenziali.

8.3.5 QR phishing

Il QR phishing, o quishing, usa QR code per portare la vittima verso un sito falso o pericoloso. Può comparire su manifesti, volantini, email, PDF, parcheggi, ristoranti, sportelli automatici, finti avvisi o adesivi sovrapposti a QR reali.

Il QR code nasconde il link e viene spesso aperto da smartphone, dove controllare il dominio è meno comodo. Può portare a falsi pagamenti, finte app, pagine di login o moduli per dati bancari.

I QR code vanno trattati come link. Prima di inserire dati bisogna controllare l’indirizzo, diffidare da adesivi in luoghi pubblici e usare app ufficiali per pagamenti e servizi importanti.

Nota

Un QR code non è più sicuro di un link solo perché sembra stampato su un avviso ufficiale.

8.3.6 Spear phishing

Lo spear phishing è phishing mirato. Non viene inviato uguale a migliaia di persone, ma costruito per colpire una persona, un ruolo, un ufficio o un’azienda specifica. Può usare informazioni raccolte tramite OSINT: nome, ruolo, azienda, fornitore, cliente, progetto, evento recente o stile comunicativo.

È più pericoloso perché contiene dettagli corretti. La vittima può pensare che il messaggio sia vero proprio perché cita elementi reali. Ma un dettaglio reale non prova l’autenticità della richiesta.

La difesa è verificare richieste insolite su un canale diverso, controllare dominio, allegati e link, applicare procedure per pagamenti e documenti, e segnalare messaggi sospetti.

Esempio

Allegato plausibile ma inatteso

Un ufficio acquisti riceve una email che cita un ordine plausibile e contiene un allegato “conferma_ordine_aggiornata.pdf”. La coerenza del contesto non basta: l’allegato deve essere atteso e verificato.

8.3.7 Business Email Compromise

La Business Email Compromise, o BEC, è una truffa in cui l’attaccante usa o imita un account email aziendale per ottenere denaro, documenti o modifiche operative. Può compromettere un account reale oppure usare un indirizzo molto simile a quello autentico.

Gli obiettivi tipici sono bonifici, cambio IBAN, fatture false, documenti riservati, dati di clienti o dipendenti, acquisto di buoni regalo e inserimento in conversazioni commerciali reali.

La BEC è pericolosa perché sfrutta contesti aziendali veri. A volte l’attaccante osserva una conversazione e interviene al momento giusto, per esempio comunicando un nuovo IBAN prima di un pagamento.

8.3.8 Truffe con finti pagamenti

Le truffe con finti pagamenti fanno credere che un pagamento sia stato fatto, sia in arrivo o debba essere sbloccato. Possono comparire come falsa ricevuta, finto bonifico, falso pagamento PayPal, acquirente su marketplace o richiesta di pagare una commissione per ricevere denaro.

Il segnale principale è che il denaro non risulta davvero sul conto o nell’app ufficiale. Screenshot, PDF ed email di conferma non bastano: possono essere falsificati.

Non bisogna spedire beni o fornire dati finché il pagamento non è verificato direttamente nel canale ufficiale. Non si cliccano link per “sbloccare” accrediti e non si pagano commissioni inattese.

Errore

Considerare uno screenshot come prova di pagamento. La verifica va fatta nel conto, non nell’immagine inviata da chi paga.

8.3.9 Truffe con finti rimborsi

Le truffe con finti rimborsi promettono denaro per spingere la persona a inserire dati o credenziali. Possono imitare rimborsi fiscali, bancari, corrieri, ordini, utenze, piattaforme online o enti pubblici.

Il messaggio promette spesso un importo preciso e invita a cliccare per riceverlo. La pagina chiede dati personali, credenziali o informazioni bancarie.

Il comportamento corretto è non cliccare dal messaggio, accedere manualmente all’area riservata del servizio e contattare l’assistenza tramite canali ufficiali se il rimborso sembra plausibile.

Attenzione

Un rimborso inatteso che chiede dati bancari attraverso un link è un segnale di rischio, non un’occasione da cogliere in fretta.

8.3.10 Truffe con finti pacchi e corrieri

Le truffe sui pacchi funzionano perché molte persone comprano online e aspettano davvero consegne. Messaggi come “pacco bloccato”, “indirizzo incompleto”, “paga 1,99 euro” o “conferma i dati” sembrano plausibili.

L’importo richiesto è spesso basso proprio per ridurre la diffidenza. La pagina falsa può rubare dati della carta, informazioni personali o credenziali di accesso.

La verifica va fatta dall’app ufficiale del corriere o del negozio, non dal link ricevuto. Se non si riconosce la spedizione, non si inseriscono dati e non si paga nulla.

Buona pratica

Un piccolo importo non rende sicura una richiesta. Spesso serve solo a farti inserire dati più preziosi.

8.3.11 Truffe bancarie

Le truffe bancarie possono arrivare via email, SMS, telefonata, chat o falso sito. Possono parlare di accesso sospetto, carta bloccata, bonifico da confermare, operatore antifrode, conto sicuro o aggiornamento dell’app.

I segnali più gravi sono richiesta di codici OTP, password, PIN, installazione di app, spostamento di denaro, telefonata con forte pressione, invito a non chiudere la chiamata e link via SMS.

Non bisogna comunicare codici o password, non cliccare link bancari ricevuti via SMS e non spostare denaro su indicazione telefonica. Si apre l’app ufficiale o si chiama il numero ufficiale della banca.

Attenzione

“Spostare soldi su un conto sicuro” è una formula tipica delle truffe. La banca non dovrebbe chiederti di salvare il denaro trasferendolo dove indica un chiamante.

8.3.12 Truffe sentimentali

Le truffe sentimentali sfruttano fiducia, affetto e bisogno di relazione. L’attaccante costruisce nel tempo un rapporto, spesso con un profilo falso, e poi inizia a chiedere denaro, documenti, aiuto o investimenti.

I segnali di allarme sono persona conosciuta solo online, profilo poco verificabile, rifiuto di videochiamate reali, storie drammatiche, richieste economiche, urgenza emotiva, segretezza e promesse molto rapide.

Non bisogna inviare denaro o documenti a persone conosciute solo online. È utile parlarne con una persona di fiducia, verificare profili e foto, e interrompere il contatto quando iniziano richieste economiche sospette.

Nota

La truffa sentimentale spesso non punta subito al denaro. Prima costruisce fiducia, isolamento e dipendenza emotiva.

8.3.13 Truffe con falsi investimenti

Le truffe con falsi investimenti promettono guadagni elevati, rapidi e apparentemente sicuri. Possono comparire su social, pubblicità, gruppi Telegram, video sponsorizzati, siti falsi, email o telefonate.

Gli elementi tipici sono trading automatico, criptovalute, falsi consulenti, testimonianze di personaggi famosi, guadagni garantiti, posti limitati e pressione a versare subito una piccola somma.

Il rischio aumenta quando è difficile prelevare, vengono chieste altre somme per sbloccare il guadagno o il consulente diventa insistente. Gli investimenti veri non devono basarsi su pressione e promesse certe.

Errore

Confondere una piattaforma ben presentata con una piattaforma autorizzata. Grafica e testimonianze non bastano: servono verifiche indipendenti.

8.4 Segnali di allarme comuni

Molte truffe diverse condividono segnali ricorrenti: urgenza, paura, richiesta di dati, password, codici OTP, pagamento, link inatteso, allegato inatteso, dominio strano, mittente simile, tono insolito, promessa troppo conveniente, rimborso inatteso, richiesta di installare app o invito ad agire senza verificare.

Un singolo segnale non dimostra sempre che sia una truffa. Più segnali insieme, però, devono far rallentare. Il punto non è riconoscere tutto al primo sguardo, ma capire quando serve una verifica.

Le richieste più delicate sono quelle che combinano urgenza e azione irreversibile: pagamento, cambio IBAN, invio documenti, accesso a un account, comunicazione di codici o installazione di software.

8.5 Procedura pratica: ricevo un messaggio sospetto, cosa faccio?

Quando ricevi un messaggio sospetto, il primo passo è fermarti. Non cliccare, non rispondere, non aprire allegati e non fornire dati. Poi chiediti se aspettavi davvero quel messaggio, quel pacco, quella fattura, quel documento o quella richiesta.

Il nome visualizzato non basta. Controlla indirizzo email, numero, dominio, profilo o canale usato. Valuta se il messaggio crea urgenza, chiede soldi, chiede codici, chiede password o invita a usare un link.

Per servizi importanti, non usare il link ricevuto. Apri manualmente il sito ufficiale o l’app ufficiale. Se serve, verifica il presunto mittente usando un numero, email o canale già noto, non quello indicato nel messaggio sospetto.

8.6 Cosa fare e cosa non fare

Le buone azioni sono semplici: fermarsi davanti a messaggi urgenti, verificare mittente e dominio, usare app e siti ufficiali, chiedere conferma su un canale diverso, segnalare messaggi sospetti, attivare MFA sugli account importanti e controllare movimenti bancari se qualcosa non torna.

Le azioni da evitare sono altrettanto chiare: non cliccare link ricevuti via SMS, non inserire password da link ricevuti, non comunicare codici OTP, non aprire allegati inattesi, non fidarsi solo di logo e grafica, non installare app su richiesta sospetta, non modificare IBAN solo via email e non agire sotto pressione.

Esempio

Documento cloud falso

Una persona riceve un falso documento cloud. Il pulsante “apri documento” porta a una pagina che chiede username e password. Il comportamento corretto è non inserire credenziali, controllare il dominio, accedere manualmente al cloud ufficiale e chiedere conferma al mittente.

Attenzione

Un messaggio può sembrare graficamente perfetto ed essere comunque falso. Logo, colori, impaginazione e tono professionale non bastano per fidarsi.

Buona pratica

Per banca, email, cloud, SPID/CIE, gestionali, social, pagamenti e portali aziendali, non partire mai dal link ricevuto. Se c’è davvero un problema, lo troverai anche dal canale ufficiale.

Esercizio

Procedura cambio IBAN

Costruisci una procedura in sei passaggi per gestire una richiesta di cambio IBAN di un fornitore: controllo del mittente, verifica tramite contatto già noto, divieto di usare recapiti presenti nella richiesta, approvazione di un responsabile, registrazione della verifica e segnalazione in caso di anomalia.

In sintesi

Phishing, smishing, vishing e truffe digitali cercano di convincere le persone a cliccare, inserire dati, comunicare codici o compiere pagamenti. La difesa principale è fermarsi, verificare e usare canali ufficiali. La regola da portare con sé è semplice: non cliccare, non inserire dati e non comunicare codici quando una richiesta arriva da un messaggio inatteso.