Il phishing (pronuncia fishing) è un attacco che tenta di rubarti denaro o l’identità, inducendoti a rivelare informazioni personali, come numeri di carte di credito, informazioni bancarie o password su siti Web che fingono di essere legittimi. I criminali informatici in genere fingono di essere società affidabili, amici o conoscenti, i quali inviano messaggi falsi contenenti un collegamento a un sito di phishing.

Il browser in uso non supporta le funzionalità video. Installa Microsoft Silverlight, Adobe Flash Player o Internet Explorer 9.

Scoprire come individuare un messaggio di phishing

Il phishing è una forma diffusa di crimine informatico a causa della sua efficacia. I criminali informatici utilizzano efficacemente messaggi e-mail, messaggi di testo, messaggi diretti sui social media o nei videogiochi per indurre le persone a rispondere e a fornire i propri dati personali. La migliore difesa è la consapevolezza e la conoscenza di cosa cercare.

Ecco alcuni modi per riconoscere un messaggio e-mail di phishing:

  • Chiamata all’azione o minacce: diffida delle e-mail che affermano che devi fare clic, chiamare o aprire immediatamente un allegato. Spesso, essi reclamano che devi agire ora per richiedere un premio o evitare una penale. La creazione di una falsa situazione di urgenza è un espediente comune per gli attacchi di phishing e le truffe. Lo fanno in modo che non ci pensi troppo o ti consulti con un consulente attendibile che potrebbe avvisarti.

    Suggerimento: Quando si vede un messaggio che richiede un’azione immediata è necessario fermarsi, fare una pausa e guardare con attenzione il messaggio. Sei sicuro che sia vero? Rallenta e stai attento.

  • Nuovi mittenti o mittenti poco frequenti - Anche se non è insolito riceve messaggi da nuovi mittenti, specialmente se sono esterni all'organizzazione, ciò può indicare un tentativo di phishing. Quando si ricevono messaggi da utenti non riconosciuti o identificati da Outlook come nuovi mittenti, esaminare attentamente il messaggio prima di procedere.

  • Controllo ortografico e grammaticale non corretto: Professional aziende e organizzazioni hanno in genere un personale editoriale per garantire ai clienti contenuti professionali di alta qualità. Se un messaggio di posta elettronica presenta errori di ortografia o grammatica evidenti, potrebbe trattarsi di una truffa. Questi errori sono a volte il risultato di una traduzione di cattiva qualità da una lingua estera e a volte sono voluti nel tentativo di aggirare i filtri che tentano di bloccare questi attacchi.

  • Messaggio di saluto generico - Un'organizzazione che collabora con l'utente deve conoscere il suo nome; oggi è facile personalizzare un messaggio di posta elettronica. Se il messaggio inizia con un generico "Gentile signore/a", viene visualizzato un avviso che indica che potrebbe non trattarsi in realtà della banca o del sito di acquisti.

  • Domini di posta elettronica non corrispondenti: se il messaggio di posta elettronica dichiara di essere di una società affidabile, ad esempio Microsoft o la propria banca, ma il messaggio viene inviato da un altro dominio di posta elettronica come Gmail.com o microsoftsupport.ru è probabilmente una truffa. Osserva anche gli errori di ortografia del nome del dominio reale. Ad esempio micros0ft.com, dove la seconda "o" è stata sostituita da uno 0 o rnicrosoft.com, dove "m" è stata sostituita da "r" e "n". Si tratta di trucchi comuni dei truffatori. 

  • Link sospetti o allegati inattesi: Se si ritiene che un messaggio sia un tentativo di truffa, non aprire alcun collegamento o allegato mostrato. Passa invece il puntatore del mouse sul collegamento senza fare clic, per vedere se l'indirizzo corrisponde al collegamento digitato nel messaggio. Nell'esempio seguente, posizionando il mouse sul collegamento viene visualizzata l'indirizzo Web reale nella casella con lo sfondo giallo. Si noti che la stringa di numeri non è simile all'indirizzo Web della società.

Indirizzo IP falso

Suggerimento: In Android premere a lungo il collegamento per ottenere una pagina delle proprietà che rivelerà la vera destinazione del collegamento. In iOS fai quello che Apple chiama "Light, long-press".

I criminali informatici possono anche indurre a visitare siti Web falsi con altri metodi, ad esempio attraverso SMS o chiamate. I criminali informatici configurano i call center affinché eseguano numeri automaticamente o inviino SMS ai numeri per individuare target potenziali. Questi messaggi includono spesso richieste di immissione di PIN o di altri tipi di dati personali.

Per altre informazioni, vedere Come individuare una frode "ordine falso". 

Sei un amministratore o un professionista IT?

Se hai un abbonamento a Microsoft 365 con Advanced Threat Protection, puoi abilitare ATP Anti-phishing per proteggere i tuoi utenti. Ulteriori informazioni

Se si riceve un messaggio di posta elettronica di phishing

  • Non fare mai clic su collegamenti o allegati nei messaggi di posta elettronica sospetti. Se si riceve un messaggio sospetto da un'organizzazione e non si sa se è legittimo, passare al Web browser e aprire una nuova scheda. Accedere quindi al sito Web dell'organizzazione dalla propria cartella preferita salvata oppure tramite una ricerca Web. Oppure chiamare l'organizzazione usando un numero di telefono riportato sul retro di una scheda di abbonamento, stampato su una fattura o un estratto conto oppure sul sito Web ufficiale dell'organizzazione.

  • Se il messaggio sospetto sembra essere stato inviato da una persona nota, contattarla con altri mezzi, ad esempio il messaggio SMS o telefonata, per confermare.

  • Segnalare il messaggio (vedere di seguito).

  • Eliminarlo.

Come segnalare una truffa di phishing

  • Microsoft Office Outlook - Dopo aver selezionato il messaggio sospetto, seleziona Segnala messaggio nella barra multifunzione e infine Phishing. Questo è il modo più rapido per segnalare e rimuovere il messaggio dalla cartella Posta in arrivo, e consente di migliorare i filtri per consentire di visualizzare meno messaggi in futuro. Per altre informazioni, vedere Usare la funzione Segnala messaggio.

  • Outlook.com - Selezionare la casella di controllo accanto al messaggio sospetto in Outlook.com. Selezionare la freccia accanto a Posta indesiderata ed infine Tentativo di phishing.

Nota: Se si usa un client di posta elettronica diverso da Outlook, creare un nuovo messaggio di posta elettronica per phish@office365.microsoft.com e includere il messaggio di phishing come allegato. Si prega di non inoltrare il messaggio sospetto. Lo dobbiamo ricevere come allegato per esaminare le intestazioni del messaggio. 

Se sei su un sito web sospetto:

Mentre si è in un sito sospetto in Microsoft Edge, selezionare l'icona Impostazioni e Altro (...) nell'angolo in alto a destra della finestra, quindi guida e feedback > Segnala sito non sicuro.  Oppure fai clic qui.

Suggerimento: ALT+F aprirà il menu Impostazioni e Altro.

Per altre informazioni, vedi Esplorare il Web in modo sicuro in Microsoft Edge.

Cosa fare se pensi di essere stato vittima di phishing

Se sospetti di essere caduto inavvertitamente in un attacco di phishing, è consigliabile eseguire alcune operazioni. 

  1. Subito dopo l’attacco, quando il ricordo è fresco nella tua mente, scrivi quanti più dettagli riesci a ricordare. In particolare, cerca di annotare tutte le informazioni come nomi utente, numeri di account o password che potresti aver condiviso.

  2. Modifica immediatamente le password sugli account interessati e in qualsiasi altra parte in cui potresti utilizzare la stessa password. Quando modifichi le password, dovresti creare password univoche per ogni account. È consigliabile dare un’occhiata a Creare e usare password complesse.

  3. Verificare di avere attivato l'autenticazione a più fattori (nota anche come verifica in due passaggi) per ogni account possibile. Vedi Che cos'è: Autenticazione a due fattori

  4. Se l’attacco interessa i tuoi account aziendali o dell’istituto d’istruzione, è consigliabile informare il personale del supporto IT sul tuo posto di lavoro oppure a scuola del possibile attacco. Se hai condiviso informazioni sulle tue carte di credito o sui tuoi conti bancari, dovresti contattare anche tali società per metterle al corrente della possibile frode.

  5. Se si è perso denaro o si è stati oggetto di furti di identità, segnalarlo alle forze dell'ordine locali. I dettagli del passaggio 1 saranno molto utili.

Vedi anche

Le chiavi del Regno: proteggere i dispositivi e gli account

In che modo un malware può infettare il PC

Serve aiuto?

Amplia le tue competenze
Esplora i corsi di formazione
Ottieni in anticipo le nuove caratteristiche
Partecipa a Microsoft Insider

Queste informazioni sono risultate utili?

Come valuti la qualità della lingua?
Cosa ha influito sulla tua esperienza?

Grazie per il feedback!

×