26 marzo 2026 • Phishing
Il phishing è una forma di frode digitale in cui i criminali informatici si spacciano per qualcun altro, ad esempio un'autorità importante o un personaggio famoso. Tramite e-mail, messaggi WhatsApp o SMS dal tono urgente, ti viene chiesto di fornire informazioni quali dati personali o bancari.
Per le organizzazioni è fondamentale saper riconoscere questi attacchi. In pratica, molte aziende ricorrono a simulazioni di phishing per insegnare ai dipendenti a individuare queste minacce.
Di seguito illustriamo 10 tipi di attacchi di phishing, insieme a consigli su come prevenirli.
10 tipi di attacchi phishing
1. Spruzzare phishing
Con spray phishing, i criminali informatici inviano messaggi a un gran numero di persone nell'ambito di una campagna spray phishing per impostazione predefinita. A volte si tratta di diecimila e-mail o messaggi di testo contemporaneamente. Si tratta di un'ampia rete, per così dire, nella speranza che alcune persone cadano nel tranello dell'e-mail. Di solito si tratta di un'e-mail di un'azienda esistente che chiede di aggiornare una password o di rinnovare i dati della carta di credito.
2. E-mail phishing
L'invio di e-mail è una delle forme più comuni di phishing. Queste e-mail sono progettate per sembrare provenienti da una fonte affidabile. Di solito, in questi messaggi di posta elettronica, viene chiesto di compilare un modulo o di rispondere all'e-mail. In questo modo i criminali informatici ottengono informazioni personali.
Una forma di e-mail phishing è il clone phishing, in cui un'e-mail legittima viene copiata e i link e i file vengono sostituiti con altri dannosi. Può trattarsi, ad esempio, di un file di fattura, di un link che contiene un virus o di un link che invia a un sito Web per l'inserimento di dati personali.
3. Mobile phishing
Mobile phishing è noto anche come smishing o SMS phishing. Riceverete un messaggio dall'autore del reato con l'urgenza di agire. Pensate di chiamare un numero di telefono o di cliccare su un link di un sito web. Spesso vi verranno chieste informazioni personali, come password o dati della carta di credito.
L'altra forma di phishing mobile è il phishing telefono o vishing. Con questa forma di phishing non si riceve un messaggio, ma si viene chiamati. Gli aggressori si fingono la vostra banca, la polizia o altre aziende o agenzie. Cercano di spaventare l'utente spingendolo ad agire, spesso trasferendo denaro.
4. Inseguimento dell'ambulanza
Con questi tipi di attacchi phishing , i criminali informatici sfruttano gli eventi attuali. Si pensi alla richiesta di donazioni per fondi di soccorso, disastri naturali o guerre. Gli autori possono raccogliere dati personali e sottrarre denaro alle vittime.
5. Account scaduto/modifica della password
Riceverete un messaggio via e-mail o tramite cellulare con la richiesta di reimpostare la password. Questi messaggi sembrano spesso provenire da una fonte affidabile e a volte sono difficili da distinguere dai messaggi reali. Si pensi, ad esempio, a un messaggio proveniente dalla vostra banca. Se avete cambiato la password tramite un link che vi è stato inviato via e-mail, il malintenzionato ha le informazioni necessarie per accedere al vostro conto bancario.
6. La caccia alle balene phishing
In questo attacco phishing , noto anche come compromissione della posta elettronica aziendale, i criminali informatici prendono di mira le grandi balene, ovvero i dipendenti con una posizione elevata all'interno di un'organizzazione. Spesso impersonano un dipendente di alto livello all'interno dell'organizzazione per rendere credibile l'accesso alle informazioni finanziarie o alle piattaforme aziendali.
7. Wifi twin
Un gemello WiFi è una rete WiFi che copia l'indirizzo di un'altra rete. Chiunque si connetta ad essa sarà esposto anche agli hacker. In questo modo possono accedere a password e altre informazioni. Questo tipo di attacco phishing viene spesso effettuato in aree pubbliche come centri commerciali, caffè e aeroporti. Quindi non è sempre una buona idea connettersi a una rete Wi-Fi pubblica.
8. Lancia phishing
phishing spear phishing è un tipo di phishing molto personale. Questo perché l'autore dell'attacco finge di essere una persona che conosce bene il bersaglio. Il bersaglio viene studiato a fondo, quindi l'attacco sembra molto personale. Lo scopo è quello di ottenere l'accesso a informazioni sensibili per sfruttare il bersaglio.
9. Pretestuosità
Questo tipo di attacco phishing è molto efficace perché dà un senso di legittimità. Inizialmente le vittime ricevono un messaggio tramite un canale diverso dalla posta elettronica per comunicare loro che riceveranno a breve un'e-mail. Ad esempio, si finge di essere un fornitore e indica che la vittima riceverà presto un preventivo via e-mail. Il contatto telefonico viene quindi menzionato nell'e-mail finale, il che lo fa apparire più affidabile.
10. Uomo nel mezzo
Infine, discutiamo un modo abbastanza complicato di phishing: il man-in-the-middle. Il criminale informatico intercetta le e-mail tra due persone. Il criminale invia poi queste e-mail a queste due persone, che pensano che le e-mail provengano l'una dall'altra. In questo modo, aumenta la fiducia nelle e-mail, consentendo al criminale di chiedere dettagli privati e altre informazioni.
Suggerimenti per prevenire i tipi di attacchi phishing
1. Formazione del personale
Formando il personale a riconoscere le tecniche di phishing e i meccanismi psicologici che le sottendono, è possibile prevenire un gran numero di attacchi. I dipendenti imparano a verificare l'identità dei mittenti, a evitare di cliccare ciecamente sui link o di scaricare file e a valutare i messaggi con spirito critico. Tra i principali segnali di allarme figurano:
- Saluti generici: le e-mail di phishing spesso non sono personalizzate.
- Link o allegati inattesi: soprattutto se non richiesti.
- Errori grammaticali e ortografici: spesso un segno di malafede.
- Urgenza o pressione: gli aggressori cercano di indurre a prendere decisioni affrettate.
2. Non cliccate su tutto
Non cliccare mai sui link senza averne verificato la fonte, anche se il messaggio sembra attendibile. Accedi invece manualmente al sito web ufficiale oppure controlla il link passandoci sopra con il mouse. Piccole differenze nei nomi di dominio sono una tattica di phishing molto diffusa.
3. Verificare la presenza di HTTPS
Soprattutto quando ti viene chiesto di fornire informazioni sensibili, devi verificare che l'URL inizi con HTTPS anziché con HTTP. La S in più non garantisce che si tratti di un sito web sicuro, ma offre una protezione maggiore contro gli hacker rispetto a un sito HTTP. (Quindi non fare affidamento solo sull'HTTPS)
4. Incoraggiare la segnalazione
Creare un clima in cui i dipendenti si sentano a proprio agio nel segnalare le e-mail sospette. Quanto prima viene segnalato un tentativo di phishing, tanto più rapidamente si possono adottare misure per proteggere il resto dell'organizzazione.
4. Utilizzare Guardey
Per proteggere efficacemente la vostra organizzazione dagli attacchi di phishing, la semplice sensibilizzazione non è sufficiente. I dipendenti devono confrontarsi con scenari realistici e imparare come reagire.
Grazie alla simulazione di attacchi di phishing, è possibile riprodurre in modo sicuro attacchi reali e addestrare i dipendenti a riconoscere e segnalare le minacce nella pratica. Ciò riduce notevolmente il rischio che gli attacchi di phishing abbiano successo.
Inoltre, Guardey aiuta le organizzazioni a migliorare costantemente la consapevolezza in materia di sicurezza attraverso corsi di formazione interattivi e analisi in tempo reale. In questo modo, non solo si formano i dipendenti una volta sola, ma si crea una cultura della sicurezza a lungo termine all'interno dell'organizzazione.