Come Riconoscere le Email di Phishing: Una Checklist Pratica (Con Esempi Reali)
Le email di phishing non sono più solo “truffe ovvie”. Molte sembrano professionali, copiano stili di branding reali e creano urgenza per farti agire prima di pensare. L’obiettivo è solitamente lo stesso: rubare credenziali, denaro o accesso.
1) La checklist phishing da 30 secondi
Prima di cliccare qualsiasi cosa, esegui questi controlli:
- Dominio del mittente: corrisponde esattamente al dominio reale dell’azienda?
- Urgenza: “agisci ora o perdi l’accesso” è una tattica comune di manipolazione.
- Link: passa il mouse e leggi attentamente la destinazione.
- Allegati: file inattesi sono ad alto rischio.
- Tipo di richiesta: chiedere password, informazioni di pagamento o “verifica” è sospetto.
2) Trucchi del mittente: nome visualizzato vs indirizzo reale
Gli attaccanti spesso usano un nome visualizzato affidabile nascondendo un indirizzo strano dietro.
- Cerca domini simili (lettere extra, caratteri scambiati, TLD strani).
- Fai attenzione a “support-alerts”, “billing-team” o sottodomini casuali.
- Controlla se il dominio corrisponde al sito ufficiale dell’azienda.
3) La trappola dell’urgenza
Il phishing cerca di ridurre il tuo tempo di riflessione:
- “Il tuo account sarà chiuso oggi.”
- “Accesso insolito—verifica immediatamente.”
- “Pagamento fallito—aggiorna la carta ora.”
Le aziende legittime inviano avvisi, ma quelli sicuri di solito ti permettono di accedere normalmente senza forzare un singolo “clicca questo link ora”.
4) Ispezione dei link: cosa cercare
- Link brevi: nascondono la destinazione reale.
- Catene di reindirizzamento: un link “apparente sicuro” che inoltra rapidamente altrove.
- Disallineamento del dominio: “company-support” che non appartiene all’azienda.
Abitudine sicura: apri una nuova scheda e vai direttamente al sito ufficiale invece di usare il link nell’email.
5) Gestione degli allegati: “file inatteso = file rischioso”
I formati pericolosi comuni includono documenti con macro e eseguibili. Se un messaggio ti spinge ad aprire un allegato rapidamente, trattalo come ad alto rischio.
- Scansiona con software di sicurezza.
- Non abilitare le macro.
- Verifica il mittente in modo indipendente.
6) Cosa fare se hai già cliccato
- Ferma: chiudi la pagina e non inserire credenziali.
- Cambia password sul sito reale (aprilo direttamente).
- Abilita 2FA/passkey se disponibile.
- Controlla le sessioni recenti e revoca dispositivi sconosciuti.
- Monitora i metodi di pagamento se hai inserito dati finanziari.
7) Come aiutano le caselle usa e getta (responsabilmente)
Le caselle usa e getta possono ridurre lo spam e limitare dove la tua identità email primaria è memorizzata. Usale per iscrizioni a basso rischio, prove e test. Ottieni una casella nuova qui: TempMailbox.
Promemoria: non fare mai affidamento su una casella temporanea per account critici di identità o bancari.
