Che cos'è un link di phishing?

Blog

Un link di phishing è un URL dannoso creato per rubare i tuoi dati o installare malware. Scopri come riconoscere i link di phishing prima di cliccarci sopra e cosa fare se l'hai già fatto.

di Milena Baghdasaryan

Ultimo aggiornamento:
8 Tempo di lettura: 8 minuti
Che cos'è un link di phishing?
Indice dei contenuti-

I punti chiave da prendere in considerazione

  • I link di phishing sono il principale metodo utilizzato dagli hacker per rubare credenziali o installare malware
  • La maggior parte degli attacchi di phishing fa leva sull'urgenza e sulla fiducia per indurre gli utenti a cliccare senza verificare
  • Piccoli dettagli relativi agli URL, come errori ortografici, domini sospetti o reindirizzamenti nascosti, spesso rivelano intenzioni malevole
  • Un solo clic può portare al furto delle credenziali, all'infezione da malware o alla compromissione a lungo termine dell'account
  • Un'autenticazione rigorosa delle e-mail, come il DMARC, unita alla sensibilizzazione degli utenti, costituisce la migliore difesa

Immagina di stare controllando la tua casella di posta in un frenetico martedì mattina. Vedi una notifica urgente dalla tua banca o un avviso di spedizione per un pacco che non ricordi di aver ordinato. Entrambi contengono un pulsante o un URL, ed entrambi sono pensati per suscitare un senso di panico. Quel singolo link è il punto cruciale della sicurezza informatica moderna. Questo tipo di attacco, spesso definito " phishing tramite URL", si basa su link ingannevoli progettati per sembrare legittimi a prima vista.

Secondo la CISA, il phishing rimane la forma più diffusa di attacco informatico, rappresentando oltre il 90% di tutte le violazioni dei dati. Sebbene le truffe siano di per sé complesse, il "link di phishing" è il principale veicolo di diffusione. Questi URL dannosi arrivano tramite e-mail, SMS (smishing), messaggi diretti sui social media e persino codici QR stampati (quishing). Capire come funzionano questi link fa la differenza tra mantenere al sicuro la propria vita digitale e consegnarne le chiavi a un perfetto sconosciuto.

In questa guida ti spiegheremo in dettaglio come individuare questi link prima di cliccarci sopra, cosa succede se ti sfugge il dito e quali misure devi adottare per risolvere il problema.

Un link di phishing è un URL dannoso progettato per sembrare legittimo, utilizzato per indurre gli utenti a rivelare credenziali o dati personali, oppure per innescare il download di malware. Non si tratta di un attacco a sé stante, bensì del veicolo che collega un messaggio ingannevole a una destinazione dannosa. Cliccandoci sopra, l'utente colma inconsapevolmente il divario tra un ambiente sicuro e l'infrastruttura dell'autore dell'attacco.

Come funziona un link di phishing--

Un attacco di phishing non è solo un link casuale; si tratta di un processo psicologico e tecnico ben studiato. Ecco come si svolge il meccanismo dal punto di vista dell'utente:

1. La configurazione

Un malintenzionato crea un messaggio convincente, solitamente un'e-mail o un SMS, che imita un marchio affidabile come Microsoft, Amazon o una banca locale. Il messaggio ricorre a tecniche di "ingegneria sociale" quali la paura, l'urgenza o la curiosità per indurre l'utente a compiere un'azione.

2. Il clic

L'utente clicca sul link, fidandosi del contesto in cui si trova il mittente. Ad esempio, un link "reimposta password" contenuto in un'e-mail che sembra esattamente una notifica standard.

3. Il carico utile

L'utente viene reindirizzato a una pagina di destinazione fasulla creata appositamente per sottrarre credenziali quali nomi utente e password. Nei casi più gravi, il link attiva un "drive-by download", ovvero l'installazione silenziosa di malware in background senza alcuna ulteriore interazione da parte dell'utente.

4. Lo sfruttamento

Una volta raccolti i dati o compromesso il dispositivo, l'autore dell'attacco sfrutta tale accesso per commettere frodi finanziarie, furti di identità o come punto d'appoggio per un attacco ransomware su più ampia scala contro una rete aziendale.

Gli hacker utilizzano vari metodi per mascherare gli URL dannosi, in modo da eludere sia l'intuito umano che i filtri di sicurezza di base.

Questi sfruttano piccoli errori ortografici che l'occhio umano spesso non nota a una rapida lettura.

  • Esempio: amazon-secure.net o wellsfarg0.com al posto dei domini ufficiali. Questi rendono difficile distinguere a prima vista il sito legittimo da quello fraudolento.

Si tratta di una tecnica più sofisticata in cui gli hacker utilizzano caratteri Unicode provenienti da alfabeti diversi che sembrano identici alle lettere latine.

  • Esempio: una «а» cirillica può sostituire una «a» latina. Per un browser, apple.com (con la «a» cirillica) è una destinazione completamente diversa dal vero apple.com, anche se all’utente appaiono identici.

URL abbreviati

Servizi come Bitly o TinyURL sono utili per i social media, ma rappresentano una manna dal cielo per i phisher, poiché nascondono la vera destinazione dietro una sequenza di caratteri casuali.

  • Esempio: un link come bit.ly/3xK7zY9 potrebbe rimandare a un documento legittimo o a un sito creato per rubare credenziali; l'utente non ha modo di saperlo finché la pagina non viene effettivamente caricata.

Gli hacker spesso sfruttano i cosiddetti «reindirizzamenti aperti» su siti web legittimi e affidabili. Individuano un dominio affidabile che consente a un parametro URL di reindirizzare gli utenti altrove.

  • Esempio: https://trusted-site.com/redirect?url=malicious-site.com. Poiché il link inizia con un marchio di cui ti fidi, i filtri di sicurezza tendono a lasciarlo passare più facilmente e gli utenti sono più propensi ad accettarlo.

Gli URL dannosi vengono sempre più spesso inseriti nei codici QR per eludere i tradizionali controlli visivi. Poiché gli esseri umani non sono in grado di «leggere» il codice, il link rimane invisibile finché non viene scansionato.

  • Esempio: un adesivo contraffatto applicato sopra un codice QR autentico su un parchimetro, che reindirizza al sito pay-parking-portal.xyz anziché all'app ufficiale del Comune per il pagamento.

Con una diffusione in aumento nel 2025 e nel 2026, gli hacker inviano ora “immagini” o “documenti” che in realtà sono mini-pagine web. Una volta aperti, questi file vengono eseguiti localmente nel browser dell’utente per eludere i sistemi di scansione delle e-mail.

  • Esempio: un allegato denominato Invoice_99.svg. Una volta aperto, mostra una finta finestra di accesso a Microsoft 365 che sembra un messaggio di sistema, ma che in realtà è uno script progettato per rubare la tua password.

Questo vettore sfrutta la funzione di "accettazione automatica" presente in molte app di calendario. Gli autori degli attacchi inviano un invito a una riunione che compare automaticamente nella tua agenda, spesso accompagnato da una notifica.

  • Esempio: un evento del calendario intitolato «Urgente: revisione degli stipendi da parte delle Risorse Umane» che contiene un link del tipo company-hr-portal.web.app. Poiché la notifica proviene dalla tua stessa app di calendario, essa trasmette un’impressione di legittimità e urgenza che non corrisponde alla realtà.

Suggerimento: passa sempre il mouse su un link (su computer) o tienilo premuto a lungo (su dispositivi mobili) per visualizzare in anteprima l'URL di destinazione effettivo prima di cliccarci sopra. Se il link è stato inviato tramite un invito a calendario inaspettato o un allegato HTML, trattalo con estrema cautela.

Le conseguenze di un clic possono essere immediate o ritardate, e non sono sempre evidenti.

  1. Il reindirizzamento "fantasma": per non destare sospetti, molti siti di phishing ti reindirizzano al sito web vero e proprio, quello legittimo, dopo che hai inserito la password. Potresti pensare che il login abbia semplicemente "dato un problema tecnico", mentre l'autore dell'attacco è già in possesso delle tue credenziali.
  2. Furto di credenziali: la maggior parte dei link rimanda a una pagina di accesso fasulla. Se inserisci i tuoi dati, l'autore dell'attacco avrà accesso immediato al tuo account.
  3. Installazione silenziosa di malware: un semplice clic può attivare uno script che installa spyware o ransomware. Spesso ciò avviene in modo "silenzioso", ovvero senza che compaiano finestre o messaggi di avviso.
  4. Conferma dell'account attivo: anche se non inserisci alcun dato, il semplice fatto di cliccare indica all'autore dell'attacco che il tuo indirizzo e-mail è attivo e che sei vulnerabile ai link.

Non tutte le conseguenze sono visibili. Alcuni payload si attivano solo dopo alcuni giorni, oppure diventano evidenti solo quando le credenziali rubate vengono utilizzate per l'appropriazione indebita di account o per frodi.

Nota: Un errore comune è pensare che un sito sia sicuro se presenta l'icona del "lucchetto" o utilizza il protocollo HTTPS. L'HTTPS non garantisce che un sito sia sicuro; significa solo che la connessione è crittografata. Gli hacker ottengono regolarmente certificati SSL gratuiti per far sembrare professionali i loro siti fraudolenti.

La prevenzione è la migliore difesa. Usa questa lista di controllo per verificare ogni link che ricevi:

  • Passa il mouse prima di cliccare: su un computer, passa il mouse su un link (senza cliccare!) per visualizzare l'URL di destinazione effettivo nell'angolo in basso del browser. Su dispositivi mobili, tieni premuto sul link per visualizzare l'anteprima.
  • Analizza il dominio: Cerca domini di primo livello insoliti. Mentre ci fidiamo di .com, .org o .gov, diffida di .xyz, .top, .cc o .work nei messaggi non richiesti.
  • Verifica la presenza di sottodomini non corrispondenti: un link come apple.com.security-check.xyz non è un sito Apple. Il dominio reale è sempre la parte immediatamente a sinistra del dominio di primo livello (in questo caso, security-check.xyz).
  • Analizza attentamente il contesto: il link corrisponde al mittente? Se "Netflix" ti invia un link a un dominio come billing-update-now.com, si tratta di una truffa.
  • Utilizza uno strumento di verifica dei link: in caso di dubbio, fai clic con il tasto destro del mouse sul link, seleziona "Copia indirizzo link" e incollalo nello strumento gratuito Phishing URL Checker di PowerDMARC per analizzare immediatamente qualsiasi link sospetto. Questo strumento confronta l'URL con le blacklist globali dei siti noti come dannosi.

Non sono sicuro di un link-

Se hai già cliccato, non farti prendere dal panico. Un intervento rapido e calmo può impedire che un «clic» si trasformi in una «violazione».

  1. Chiudi subito la scheda: se sei arrivato su una pagina, non cliccare su nient'altro. Non cliccare su "annulla iscrizione" o "annulla". Chiudi semplicemente la finestra.
  2. Disconnettiti da Internet: se sospetti che sia in corso il download di un file, disattiva il Wi-Fi o scollega il cavo Ethernet. In questo modo impedirai al malware di comunicare con il server C2 (comando e controllo) dell'autore dell'attacco o di caricare i tuoi dati.
  3. Modifica le password compromesse: se hai inserito le tue credenziali, vai sul sito web ufficiale (digita l'indirizzo manualmente) e modifica immediatamente la tua password. Se utilizzi quella stessa password anche su altri siti, modificala anche lì.
  4. Esegui una scansione completa: utilizza un software antivirus o anti-malware affidabile per verificare che sul tuo dispositivo non siano presenti payload nascosti.
  5. Avvisa il reparto IT: se stai utilizzando un dispositivo aziendale, informane il reparto IT. Preferirebbero di gran lunga aiutarti a proteggere un singolo portatile piuttosto che dover affrontare un attacco di ransomware che colpisce l'intera azienda.
  6. Segnalare l'incidente: consultare la guida " Hai cliccato su un link di phishing?" per conoscere le misure correttive specifiche per la tua situazione.
URL di esempioTipoIl concorso a premiCosa cercare a prima vista
https://secure-paypa1.com/loginDominio simileIl numero "1" sostituisce la lettera "l" nella parola "paypal".Cerca i numeri usati al posto delle lettere (1 per la "l", 0 per la "o").
https://bit.ly/3xHj9k2URL abbreviatoLa destinazione è completamente sconosciuta e potrebbe portare ovunque.Se il nome di dominio finale è nascosto dietro una sequenza di caratteri, non è affidabile.
https://amazon.com.account-verify.xyz/Un trucchetto per i sottodominiIl dominio effettivo è account-verify.xyz, non Amazon.Il dominio vero e proprio è sempre la parte che si trova immediatamente a sinistra del dominio di primo livello, ad esempio .xyz.
https://аpple.comAttacco omografoUtilizza una "а" cirillica che sembra identica alla "a" latina.Diffidate dei link provenienti da mittenti sconosciuti, anche se sembrano ineccepibili.
[Codice QR]QuishingMostra l'URL solo dopo la scansione; spesso utilizza TLD sospetti come .top.Controlla se ci sono adesivi sospetti apposti sui codici originali presenti sui menu o sui contatori.

Che aspetto ha in realtà un link di phishing?--

Per proteggere efficacemente un'organizzazione o una rete personale dai link di phishing, sono necessari livelli di protezione automatizzati e tecnici in grado di bloccare gli URL dannosi prima ancora che possano essere cliccati.

1. Filtri antispam e antiphishing

Ancor prima che un'e-mail arrivi nella tua casella di posta, i filtri antispam e anti-phishing ne valutano il contenuto. Questi filtri analizzano la reputazione del mittente, la struttura dell'e-mail e il contenuto utilizzando il machine learning. Cercano indicatori noti di phishing, come un linguaggio che suscita un falso senso di urgenza, intestazioni "Da" non corrispondenti e link che rimandano a siti noti come dannosi, reindirizzando automaticamente le e-mail sospette alla cartella dello spam o in quarantena.

2. Gateway di posta elettronica sicuri (SEG)

Un Secure Email Gateway (SEG) funge da punto di controllo digitale per tutto il traffico e-mail in entrata e in uscita. I SEG monitorano le e-mail alla ricerca di minacce sofisticate che i filtri standard potrebbero non rilevare. Decomprimono i file compressi, analizzano gli allegati, come file HTML o SVG potenzialmente pericolosi, in un ambiente sandbox protetto ed eliminano i contenuti dannosi prima che raggiungano l'utente finale.

3. Riscrittura degli URL e scansione al momento del clic

Gli hacker ricorrono spesso a un stratagemma che consiste nell'inviare un link apparentemente innocuo per aggirare i filtri iniziali delle e-mail, per poi reindirizzare tale link a una pagina dannosa una volta che l'e-mail è stata recapitata. Per contrastare questa pratica, i sistemi di sicurezza avanzati utilizzano la riscrittura degli URL. Lo strumento di sicurezza modifica tutti i link in entrata per instradarli attraverso un server proxy sicuro. Quando un utente clicca sul link, il sistema esegue una scansione al momento del clic. Analizza l'URL di destinazione in tempo reale proprio nel momento del clic. Se il sito è diventato dannoso dopo l'arrivo dell'e-mail, l'utente viene bloccato e gli viene mostrata una pagina di avviso.

4. Filtraggio DNS

Se un utente dovesse cliccare su un link di phishing tramite un canale non controllato, il filtro DNS funge da fondamentale rete di sicurezza. Ogni volta che un dispositivo tenta di caricare un sito web, deve interrogare un server DNS (Domain Name System) per individuare l'indirizzo IP del sito. Un filtro DNS confronta queste richieste con un database aggiornato di domini dannosi. Se un utente clicca su un link che porta a un sito di phishing noto, il filtro DNS blocca la risoluzione, impedendo il caricamento completo della pagina web.

Riassunto

I link contenuti nelle e-mail di phishing rimangono uno dei principali punti di accesso per le violazioni dei dati, ma il rischio è in gran parte gestibile. Con la giusta consapevolezza, un approccio prudente e alcune abitudini di sicurezza costanti, è possibile ridurre significativamente la propria esposizione al rischio. Mantenersi vigili, verificare prima di cliccare e seguire le regole di base per la gestione delle e-mail contribuiscono in modo determinante a proteggere non solo se stessi, ma anche tutte le persone con cui si comunica.

Domande frequenti

Come faccio a capire se un link è un link di phishing?

Il modo più efficace è passare il mouse sul link per visualizzare un'anteprima della pagina di destinazione. Controlla se ci sono errori ortografici, estensioni di dominio insolite (come .cc o .xyz) o incongruenze tra il presunto mittente e l'URL. In caso di dubbio, usa uno strumento per verificare i link di phishing.

I link di phishing vengono inviati solo via e-mail?

No. I link di phishing vengono spesso inviati tramite SMS (smishing), messaggi diretti sui social media e persino tramite annunci sui motori di ricerca o codici QR (quishing).

I link HTTPS possono essere link di phishing?

Sì. Gli hacker di oggi usano l'HTTPS per creare un falso senso di sicurezza. L'HTTPS garantisce solo che i dati scambiati tra te e il sito siano criptati; non verifica però che il proprietario del sito sia legittimo.

In che modo DMARC aiuta a contrastare i link di phishing?

I link di phishing vengono solitamente inviati tramite domini contraffatti. DMARC impedisce a queste e-mail contraffatte di arrivare nella casella di posta, verificando l'identità del mittente e neutralizzando così il sistema di consegna del link.

CTA

Ultimi messaggi di Milena Baghdasaryan (vedi tutti)
Ultimo aggiornamento:
Windows Defender è sufficiente per garantire la sicurezza delle piccole imprese?Microsoft Defender è sufficiente per la sicurezza delle piccole imprese?