Come capire se un'e-mail è falsa: Bandiere rosse da tenere d'occhio

Immaginate questo: aprite la vostra casella di posta e vedete un messaggio urgente dalla vostra banca. Si dice che il vostro conto è stato compromesso e che dovete verificare immediatamente le vostre informazioni. Volete subito cliccare sul link, pronti a proteggere il vostro denaro duramente guadagnato. Ma aspettate: siete appena caduti in uno dei trucchi più vecchi del mondo?

Attacchi di phishing come questo sono ovunque. Infatti, ogni giorno vengono inviate oltre 3,4 miliardi di e-mail di phishing e il 90% dei cyberattacchi inizia con un'e-mail di phishing. I truffatori sono diventati allarmantemente sofisticati, quindi sapere come riconoscere se un'e-mail è falsa è più importante che mai.

Non esiste un singolo trucco che funzioni sempre. Tuttavia, combinando alcune tecniche intelligenti, come il controllo delle intestazioni delle e-mail e la comprensione del modo in cui i truffatori manipolano la psicologia umana, è possibile ridurre significativamente le possibilità di cadere vittima. 

Vediamo di analizzare il tutto e di aiutarvi a tenere al sicuro la vostra casella di posta elettronica e la vostra identità.

Che aspetto ha un'e-mail falsa?

Per catturare un truffatore, dovete pensare come un truffatore. La maggior parte dei truffatori parte da un obiettivo semplice: indurvi a compiere un'azione, che sia cliccare su un link, scaricare un allegato o condividere le vostre informazioni personali e finanziarie. Ma come fanno a portarvi a quel punto? La risposta sta in una combinazione di psicologia e trucchi tecnici.

Iniziamo con la tecnica più semplice: guardare l'indirizzo e-mail stesso.

Individuare le imitazioni di dominio

Innanzitutto, controllate il dominio dell'e-mail. Se vi aspettate un'e-mail da un'azienda affidabile, il dominio dovrebbe corrispondere al sito web ufficiale dell'azienda. Ad esempio, un'e-mail di Amazon dovrebbe provenire da @amazon.com, non da @amaz0n.com.

Gli spammer utilizzano tecniche come il typosquatting, in cui registrano domini molto simili a quelli legittimi. Ad esempio, potrebbero registrare gooogle.com (con tre o) e usarlo per inviare e-mail di phishing che sembrano provenire da Google.

Semplificate la sicurezza delle e-mail con PowerDMARC!

Un altro trucco comune è quello di utilizzare sottodomini per far sembrare legittimo un indirizzo falso. Ad esempio, "paypal.secure-login.com" potrebbe sembrare di PayPal a prima vista, ma "secure-login.com" è il dominio effettivo. Osservate sempre il dominio principale (la parte immediatamente precedente ai domini .com, .org, ecc.) per determinare il vero mittente.

Cercate i nomi dei display ingannevoli

I truffatori possono manipolare il nome visualizzato in un'e-mail di phishing per far sembrare che l'e-mail provenga da una persona conosciuta.

Esempio: Un'e-mail potrebbe sembrare provenire da "Amazon Customer Support", ma l'indirizzo e-mail effettivo è qualcosa come [email protected].

Questa tecnica è spesso utilizzata nelle truffe di conferma degli ordini, in cui gli aggressori impersonano marchi famosi per indurre i destinatari a cliccare su falsi aggiornamenti degli ordini o fatture.

Il trucco Unicode

Questo ingegnoso trucco consiste nell'utilizzare caratteri di alfabeti non latini che sembrano identici alle lettere standard. Ad esempio, il carattere cirillico "а" (U+0430) è identico alla "a" latina, ma consente ai truffatori di registrare un dominio diverso.

Esempio: Indirizzo email legale: apple.com Email truffaldina spoofata: аpple.com (notate la differenza? Non c'è visivamente!)

In caso di sospetto, è possibile copiare e incollare l'indirizzo in uno strumento di ispezione Unicode per verificare la presenza di eventuali caratteri non standard. Il programma rivelerà la presenza di eventuali caratteri non standard.

Caratteri casuali nell'indirizzo e-mail falso

Un'altra cosa da ricercare in un indirizzo e-mail falso sono le stringhe casuali di numeri o lettere. Gli indirizzi e-mail reali raramente presentano queste stringhe, a meno che non si tratti di indirizzi generati automaticamente per scopi specifici. Se vedete un'e-mail da [email protected], è più probabile che sia falsa rispetto a una da [email protected].

Ma anche in questo caso non si tratta di una regola ferrea. Alcune persone utilizzano numeri casuali nei loro indirizzi e-mail, soprattutto se hanno un nome comune e hanno bisogno di differenziare il loro indirizzo dagli altri.

Il campo Reply-To

La cosa successiva da esaminare è l'indirizzo "reply-to". Questo indica al client di posta elettronica dove inviare le risposte.

Le e-mail legittime hanno di solito l'indirizzo di risposta impostato sullo stesso dominio del mittente. Se è diverso, soprattutto se si tratta di un servizio di posta elettronica gratuito, è un segnale di allarme. I truffatori sono spesso costretti a utilizzare un indirizzo di risposta diverso, poiché non controllano il dominio che stanno copiando.

Esempio: Un messaggio di posta elettronica potrebbe sembrare proveniente da [email protected], ma l'indirizzo "Rispondi a" potrebbe essere impostato su [email protected].

In Gmail, è possibile visualizzare l'indirizzo di risposta facendo clic sulla freccia a discesa accanto al nome del mittente. Altri client di posta elettronica potrebbero richiedere l'avvio della composizione di una risposta per visualizzarla. Se l'indirizzo di risposta non corrisponde al mittente, fate attenzione.

A volte, i truffatori non si preoccupano nemmeno di modificare il campo "Rispondi a". Al contrario, includono un testo nel corpo dell'e-mail chiedendo di rispondere a un indirizzo diverso. Anche questo è sospetto.

Bandiere rosse di contenuto comune in un'e-mail sospetta

I truffatori sono esperti nel manipolare le emozioni e nel creare scenari che spingono ad agire immediatamente. Questa tattica è nota come "ingegneria sociale". Creando un senso di urgenza o facendo leva sul vostro desiderio di guadagno finanziario, sperano di indurvi a rivelare informazioni personali o a cliccare su link dannosi.

Ad esempio, un'e-mail potrebbe richiedere urgentemente di rivedere la propria attività recente su una piattaforma sconosciuta o fornire un link "my assignment help review" per mascherare un contenuto dannoso. Queste e-mail di phishing sono progettate per imitare organizzazioni legittime, con loghi e layout dall'aspetto professionale, per indurre gli utenti a fidarsi di loro.

Le tipiche e-mail di truffa di phishing potrebbero affermare che:

• Avete vinto una somma di denaro considerevole.
• Il vostro conto è stato compromesso ed è necessaria un'azione immediata.
• La consegna di un pacco non è andata a buon fine e dovete riprogrammarla.
• È in corso una fattura o una richiesta commerciale urgente.

Queste e-mail di phishing sono progettate per sembrare legittime e possono persino utilizzare loghi, caratteri e layout familiari. L'obiettivo è quello di indurvi a reagire rapidamente senza riflettere in modo critico sull'autenticità dell'e-mail.

Urgenza e minacce

I criminali informatici sanno che la paura e l'urgenza possono indurre ad agire rapidamente. Le e-mail false potrebbero cercare di spaventarvi e creare un senso di urgenza: "Il tuo conto verrà chiuso se non aggiorni immediatamente i tuoi dati di pagamento"; eccitarti, ad esempio "Congratulazioni! Hai vinto 100.000 dollari! Clicca qui per reclamare il tuo premio"; o creare un senso di naturale curiosità ("Guarda chi ha visualizzato il tuo profilo"). Questo tipo di attacco di phishing ha lo scopo di aggirare il vostro pensiero razionale.

Se ricevete un'e-mail di phishing come questa, fermatevi a riflettere. Ha senso che un'azienda legittima vi minacci via e-mail? La maggior parte delle organizzazioni reali non utilizza queste tattiche. Inoltre, se non avete partecipato ad alcun concorso o lotteria, è improbabile che possiate vincerne uno. Ricordate che le organizzazioni legittime non mettono in palio grandi somme di denaro tramite e-mail non richieste.

Se ricevete un'e-mail di phishing, contattate direttamente l'azienda utilizzando un metodo di contatto verificato per verificare se l'e-mail è legittima.

Richieste di informazioni sensibili

Le aziende legittime in genere non chiedono informazioni sensibili via e-mail. Se un'e-mail vi chiede di rispondere con i vostri dati personali, le credenziali del conto, il numero di previdenza sociale o i dati della carta di credito, è quasi certamente falsa.

Ad esempio, potreste ricevere una falsa e-mail universitaria che dichiara di essere l'Ufficio per gli aiuti finanziari (ad esempio: [email protected]) e che richiede il vostro numero di previdenza sociale per elaborare una borsa di studio o un prestito per studenti. Non solo la richiesta è insolita, ma il dominio sospetto (come l'errore di scrittura "paypall") è un chiaro segnale di allarme che si tratta probabilmente di un tentativo di phishing. Per saperne di più su come le false e-mail universitarie prendono di mira gli ignari studenti e il personale.

Allegati inaspettati

Molti truffatori utilizzano spesso allegati dannosi per trasmettere malware o virus, che possono infettare il vostro computer e rubare le vostre informazioni personali. Se ricevete un allegato inaspettato, soprattutto se si tratta di un file .zip o di un tipo di file insolito come .exe, .scr o .vbs, siate molto cauti. Anche tipi di file apparentemente innocui come i PDF o i documenti Word possono contenere macro dannose. Ad esempio, potreste ricevere un'e-mail che sembra un sollecito di pagamento da parte di un fornitore, con in allegato una lettera di fatture scadute. Sebbene possa sembrare una normale fattura in formato PDF, in realtà potrebbe contenere codice dannoso.

Cosa fare con gli allegati sospetti:

• Non apriteli: Se ricevete un allegato inaspettato, non apritelo se non siete sicuri che provenga da una fonte affidabile.
• Utilizzare il software antivirus: Assicuratevi che il vostro software antivirus sia aggiornato e usatelo per scansionare gli allegati prima di aprirli.

Errori grammaticali, ortografici e incoerenze

Anche se non sono a prova di bomba (anche alcune e-mail legittime presentano errori), la scarsa grammatica e gli errori multipli possono essere un campanello d'allarme. I truffatori potrebbero non avere sempre una salda padronanza della lingua in cui scrivono, oppure potrebbero usare intenzionalmente la grammatica scorretta come filtro per eliminare i destinatari più esigenti (le persone che notano e sono scoraggiate dagli errori grammaticali hanno meno probabilità di cadere nel tentativo di phishing). Ecco perché uno dei modi più semplici per identificare un indirizzo e-mail falso è verificare la presenza di errori grammaticali, ortografici e grammaticali.

Le aziende legittime hanno team dedicati per garantire che le loro comunicazioni siano professionali e prive di errori. Di solito hanno modelli di e-mail coerenti e dall'aspetto professionale. Se un'e-mail che sostiene di provenire da un'azienda importante ha un aspetto amatoriale o una formattazione incoerente, potrebbe essere falsa.

Anche le frasi "Gentile cliente" o "Salve utente" possono essere un indizio negativo. Le aziende legittime di solito si rivolgono all'utente con il suo nome, perché hanno i suoi dati in archivio. Le e-mail false spesso utilizzano saluti generici perché vengono inviate in massa.

Collegamenti non corrispondenti

Una delle tattiche più comuni utilizzate dai truffatori è l'inserimento di link dannosi nelle e-mail. Questi link sospetti spesso portano a siti web inaspettati e falsi, progettati per rubare le credenziali di accesso o infettare il dispositivo con malware.

Esempio: Il testo di un link malevolo in un'e-mail potrebbe dire "www.yourbank.com, ma quando ci si passa sopra, l'URL effettivo è qualcosa di completamente diverso, come "www.scamsite.com/login." Si tratta di un URL mascherato o nascosto.

Come verificare i link

È possibile:

Passare il mouse sul link

Posizionare il cursore sul link senza fare clic. In questo modo verrà visualizzata l'effettiva destinazione dell'URL. Se sembra sospetto o non corrisponde al sito web ufficiale, non cliccateci sopra. Invece di cliccare su un link, digitate il nome dell'azienda in un motore di ricerca per trovare il suo sito web ufficiale. Attenzione, però: gli spammer possono utilizzare accorciatori di URL o altre tecniche per nascondere la vera destinazione di un link. Inoltre, alcuni client di posta elettronica non consentono di passare il mouse sui link incorporati per vedere dove vanno a finire.

Cercare HTTPS

I siti web legittimi hanno solitamente un URL che inizia con"https://"e un'icona a forma di lucchetto. Tuttavia, questo non è a prova di bomba, poiché anche i truffatori possono proteggere i loro siti web dannosi.

Avvisi falsi di consegna dei pacchi

Con l'aumento degli acquisti online, i truffatori si sono affidati a falsi avvisi di consegna dei pacchi per indurre le persone a cliccare su link dannosi.

Esempio: "Il tentativo di consegna del pacco non è riuscito. Fare clic qui per riprogrammare".

Cosa fare:

• Controllate l'indirizzo e-mail del mittente: Verificate che l'e-mail provenga dal dominio ufficiale della società di spedizioni (ad esempio, @fedex.com o @ups.com).
• Accedere direttamente al proprio account: Invece di cliccare sui link, accedete direttamente al sito web dell'azienda per rintracciare il vostro pacco.

Metodi avanzati per individuare un'e-mail falsa

Ora entriamo nella parte più tecnica. Non preoccupatevi se all'inizio vi sembra complicato: una volta che sapete cosa cercare, non è poi così difficile.

Utilizzare gli indicatori di autenticazione

Si tratta di controlli che verificano l'effettiva provenienza di un messaggio di posta elettronica dal dominio dichiarato. I tre tipi principali di indicatori di autenticazione sono:

• SPF (Sender Policy Framework): Serve a verificare che l'indirizzo IP del mittente sia autorizzato a inviare e-mail per quel dominio. Se un'e-mail proviene da un server non presente in questo elenco, è probabilmente falsa.
• DKIM (DomainKeys Identified Mail): DKIM è come un sigillo antimanomissione per le e-mail. Aggiunge una firma digitale alle vostre e-mail per dimostrare che l'e-mail proviene davvero da voi e non è stata modificata durante il tragitto verso il destinatario.
• DMARC (Domain-based Message Authentication, Reporting & Conformance): La politica DMARC si basa su SPF e DKIM, consentendo ai proprietari dei domini di specificare come gestire le e-mail sospette che non superano questi controlli. Fornisce inoltre ai destinatari un modo per segnalare ai mittenti le e-mail che superano o meno questi controlli.

Come controllarli

Purtroppo, la maggior parte dei client di posta elettronica non mostra in modo evidente importanti informazioni di autenticazione, rendendo più difficile per gli utenti verificare rapidamente la legittimità di un'e-mail.

Alcuni, come Gmail, mostrano le informazioni "spedito da" e "firmato da" direttamente nella visualizzazione dell'e-mail, fornendo una rapida indicazione dell'autenticità dell'e-mail. Per un controllo più approfondito, è possibile accedere alle intestazioni complete delle e-mail.

In Gmail, fare clic sui tre punti accanto al pulsante di risposta e selezionare "Mostra originale" per visualizzare i risultati dettagliati del controllo SPF e DKIM.

Cosa cercare

Per le grandi organizzazioni affidabili, come Google, Apple, Microsoft e così via, dovrebbero passare tutti e tre (SPF, DKIM, DMARC). Per le aziende più piccole, dovrebbero passare almeno SPF e DKIM.

Qualsiasi errore in questo senso è molto sospetto per le e-mail che si suppone provengano da grandi organizzazioni. Detto questo, il superamento di questi controlli non garantisce che un'e-mail sia sicura. Significa solo che proviene davvero dal dominio dichiarato. Un truffatore potrebbe creare un dominio falso con un'autenticazione adeguata. È quindi necessario verificare che si tratti del dominio corretto che ci si aspetta.

Ma leggere le intestazioni delle e-mail non è facile. Sono piene di informazioni tecniche che la maggior parte delle persone non capisce. Gli spammer lo sanno e sono diventati più bravi a falsificare intestazioni che sembrano legittime.

Controllare le firme digitali

Uno dei metodi più avanzati per identificare un'e-mail falsa consiste nel verificare la presenza di una firma digitale, nota anche come firma S/MIME. Consideratela come un sigillo di ceralacca virtuale che verifica che l'e-mail provenga davvero dalla persona o dall'organizzazione da cui proviene. Quando un'e-mail è firmata con S/MIME, significa che il mittente dispone di un certificato affidabile che conferma la sua identità e garantisce che il messaggio non è stato manomesso.

Se utilizzate Outlook o Gmail, potete verificare voi stessi queste firme. In Outlook, i messaggi di posta elettronica firmati mostrano un'icona a nastro blu vicino al nome del mittente. Facendo clic su di essa si ottengono dettagli sul certificato e sulla sua validità.

In Gmail, le e-mail firmate visualizzano un messaggio "firmato da" nell'intestazione dell'e-mail o accanto all'indirizzo del mittente. Se la firma manca o non è valida, è un segnale di allarme che l'e-mail potrebbe essere falsa o alterata.

Ricerca inversa del mittente

Un'altra mossa intelligente è quella di fare un po' di lavoro investigativo sul mittente prima di fidarsi della sua e-mail. È possibile eseguire una ricerca inversa sull'indirizzo e-mail o sul dominio utilizzando i servizi WHOIS che mostrano chi possiede il dominio e quando è stato registrato. Se il dominio è stato creato molto di recente o se i dati del proprietario appaiono sospetti o privati, si tratta di un segnale di allarme.

Potete anche controllare i profili sociali collegati al nome o all'indirizzo e-mail del mittente. LinkedIn, Twitter o anche il sito web dell'azienda possono aiutarvi a verificare se la persona esiste davvero e se è associata all'organizzazione da cui dichiara di provenire. Se non si trovano tracce o le informazioni non corrispondono, è meglio essere prudenti.

Prevenire le truffe di phishing con PowerDMARC!

Esempi di truffe di phishing

Vediamo alcuni esempi per capire come questi principi si applicano nella pratica.

La classica truffa di PayPal

La classica truffa PayPal è una delle tattiche di phishing più comuni, in cui i truffatori si fingono PayPal per indurvi a rivelare informazioni sensibili o a inviare denaro.

Da: [email protected]

Oggetto: Il tuo account è stato limitato! Corpo: Gentile cliente, abbiamo notato un'attività insolita sul suo conto. Clicchi sul link sottostante per verificare le sue informazioni e ripristinare l'accesso completo al suo conto. [LINK]

Bandiere rosse:

• Spoofing del dominio(paypal.com.secure-account.com)
• Oggetto urgente
• Saluto generico
• Richiesta di cliccare su un link e inserire informazioni

La frode del CEO sofisticato

Una delle forme più pericolose di phishing è il cosiddetto executive phishing, in cui gli aggressori impersonano dirigenti di alto livello per indurre i dipendenti a trasferire denaro o informazioni sensibili.

Da: [email protected]

Oggetto: Necessario bonifico urgente

Corpo: [Nome del dipendente], ho bisogno che elaboriate un bonifico urgente per una nuova acquisizione. Si tratta di un'operazione sensibile e riservata. La prego di trasferire immediatamente 50.000 dollari sul seguente conto: [DETTAGLI DEL CONTO].

Fatemi sapere una volta terminato.

[Nome del CEO]

Bandiere rosse:

• Richiesta urgente di denaro
• Pressione per un'azione rapida
• Richiesta di riservatezza
• Richiesta insolita da parte di un dirigente di alto livello

Questo tipo di truffa, nota come Business Email Compromise (BEC), è costata alle aziende miliardi di dollari. Spesso comporta la compromissione o lo spoofing dell'account e-mail di un dirigente per richiedere trasferimenti fraudolenti.

L'e-mail legittima che sembra falsa

Ricevete un'e-mail da una piccola impresa con cui avete già avuto a che fare. I controlli di autenticazione non passano e l'e-mail contiene alcuni errori di battitura. Il primo istinto potrebbe essere quello di contrassegnarla come spam.

Tuttavia, notate che l'indirizzo del mittente corrisponde alla precedente corrispondenza che avete avuto con questa azienda. Il contenuto dell'e-mail fa riferimento a dettagli specifici sulla vostra ultima interazione con loro. In questo caso, nonostante i controlli falliti, l'e-mail potrebbe essere legittima: la piccola impresa potrebbe semplicemente non aver impostato un'autenticazione e-mail adeguata. Questo esempio illustra perché è importante considerare diversi fattori, tra cui il contesto e il rapporto con il mittente, e non solo i controlli tecnici.

Come proteggersi dalle e-mail false

Essere consapevoli dei segnali di indirizzi falsi è solo metà dell'opera. È altrettanto importante adottare misure proattive per proteggere se stessi e la propria organizzazione.

Rimanere informati sulle truffe attuali

Le tattiche delle e-mail false si evolvono costantemente. Tenersi informati sulle attuali truffe di phishing può aiutare a individuare nuovi tipi di e-mail false. Molte organizzazioni pubblicano regolarmente aggiornamenti sulle nuove truffe via e-mail. Ad esempio, l'Internet Crime Complaint Center(IC3) dell'FBI pubblica avvisi sulle attuali minacce e truffe informatiche. Analogamente, la Federal Trade Commission (FTC) offre preziose informazioni sulle ultime attività fraudolente. E se volete andare davvero a fondo, c'è l'Anti-Phishing Working Group(APWG), che si concentra specificamente sulle truffe di phishing.

Attenzione anche alle truffe generate dall'intelligenza artificiale e al phishing vocale (vishing). L'intelligenza artificiale sta rendendo più facile per i truffatori creare messaggi di phishing personalizzati e convincenti su larga scala. Nel frattempo, alcuni truffatori stanno combinando queste tattiche e-mail con chiamate vocali e telefoniche, spesso utilizzando l'intelligenza artificiale per clonare le voci, creando una truffa più complessa e potenzialmente credibile. Questa tecnica, nota come vishing, aggiunge un elemento uditivo ai tradizionali attacchi di phishing, rendendo ancora più difficile per le potenziali vittime discernere la verità. In risposta, l'IA generativa può essere utilizzata nella cybersecurity per individuare più efficacemente queste truffe guidate dall'IA, rafforzare le difese e adattarsi rapidamente ai nuovi metodi di attacco.

Utilizzo di soluzioni di filtraggio delle e-mail

I filtri antispam avanzati possono aiutare a rilevare e bloccare le e-mail false prima che raggiungano la casella di posta principale. Queste soluzioni utilizzano l'apprendimento automatico e l'intelligenza artificiale per analizzare il contenuto delle e-mail, le informazioni sul mittente e altri metadati per identificare le e-mail potenzialmente dannose.

Utilizzare i servizi di notifica delle violazioni dei dati

Utilizzate servizi legittimi come Have I Been Pwned, Avast Hack Check per verificare se il vostro indirizzo e-mail è stato coinvolto in una violazione dei dati.

Implementare i protocolli di autenticazione e-mail

L'utilizzo di protocolli di autenticazione delle e-mail come SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) e DMARC (Domain-based Message Authentication, Reporting, and Conformance) può aiutare a proteggere il vostro dominio dallo spoofing.

Purtroppo, l'autenticazione delle e-mail non è così diffusa come si potrebbe sperare. Secondo alcune stime, oltre l'80% dei domini non ha alcun record SPF. E tra quelli che ce l'hanno, molti non applicano politiche rigorose. Il DMARC, considerato il metodo di autenticazione delle e-mail più completo, è utilizzato da un numero ancora minore di domini. Anche quando queste protezioni sono presenti, non sempre sono configurate correttamente.

Per le aziende che desiderano implementare una solida autenticazione delle e-mail, PowerDMARC offre una soluzione completa. La sua piattaforma semplifica il processo di impostazione e gestione dei record DMARC, SPF e DKIM.

Caratteristiche principali:

• Generatore di record DMARC: Crea e gestisce facilmente i record DMARC.
• Gestione dei record SPF: Ottimizzate i vostri record SPF per prevenire lo spoofing delle e-mail.
• Assistenza per l'installazione di DKIM: Implementate la firma DKIM per il vostro dominio con lo strumento di generazione DKIM.
• Reporting forense: Ottenete informazioni dettagliate sui fallimenti dell'autenticazione delle e-mail.
• Threat Intelligence: Identificare le potenziali minacce al dominio della vostra azienda.

Utilizzando un servizio come PowerDMARC, le organizzazioni possono ridurre significativamente il rischio che il loro dominio venga utilizzato in attacchi di phishing, proteggendo sia la reputazione del loro marchio che i loro clienti.

Proteggere la posta in arrivo

I truffatori evolvono costantemente le loro tecniche. Tuttavia, esaminando attentamente l'indirizzo del mittente, il campo di risposta e i risultati dell'autenticazione, è possibile individuare la maggior parte delle e-mail false. Considerate questi metodi come aiuti per amplificare il vostro naturale scetticismo, non per sostituirlo. Sono come i dispositivi di sicurezza di un'automobile: possono aiutare a prevenire gli incidenti, ma bisogna comunque guidare con prudenza. In definitiva, se un'e-mail vi sembra sospetta, trattatela come tale. È meglio ignorare occasionalmente un'e-mail reale che cadere in una truffa di phishing.

Ricordate che nessuno è immune da queste truffe di phishing. Anche chi è esperto di tecnologia può essere ingannato da un falso abbastanza intelligente.

Domande frequenti

Le e-mail false possono infettare il mio dispositivo semplicemente aprendole?

Di solito, la semplice apertura di un'e-mail non infetta il dispositivo. Tuttavia, facendo clic su link dannosi o scaricando allegati si può installare il malware, quindi è bene prestare sempre attenzione.

Cosa devo fare se ho risposto a un'e-mail di phishing?

Interrompete immediatamente qualsiasi comunicazione. Cambiate le vostre password, monitorate i vostri account alla ricerca di attività sospette e valutate la possibilità di eseguire una scansione di sicurezza sul vostro dispositivo.

È sicuro annullare l'iscrizione a un'e-mail sospetta?

È più sicuro non farlo. Cliccando su "annulla l'iscrizione" si può confermare il proprio indirizzo ai truffatori. Invece, contrassegnate l'e-mail come spam o bloccate il mittente.

Posso segnalare alle autorità le e-mail false?

È possibile segnalare le e-mail di phishing a organizzazioni come l'Anti-Phishing Working Group (APWG), la Federal Trade Commission (FTC) e l'Internet Crime Complaint Center (IC3) dell'FBI.

• Informazioni su
• Ultimi messaggi

Ahona Rudra

Esperto di sicurezza dei domini e delle e-mail presso PowerDMARC

Ahona è la Marketing Manager di PowerDMARC, con oltre 5 anni di esperienza nella scrittura di argomenti di cybersecurity, specializzata in sicurezza dei domini e delle e-mail. Ahona ha conseguito una laurea in Giornalismo e Comunicazione, consolidando la sua carriera nel settore della sicurezza dal 2019.

Ultimi messaggi di Ahona Rudra (vedi tutti)

• I 7 migliori strumenti di verifica delle e-mail per una consegna sicura - 28 novembre 2025
• CNAME vs. A Record: Quale record DNS utilizzare? - 18 novembre 2025
• Studio di caso DMARC MSP: Come PowerDMARC protegge i domini dei clienti di Amalfi Technology Consulting dallo spoofing - 17 novembre 2025