Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Fondamenti di Cybersecurity per le PMI (5/12): PHISHING, L’Arte di Non Cadere Nella Rete…

Francesco Adriani : 8 Ottobre 2024 07:09

Il grande bluff: l’email del “tizio importante”

La prossima volta che ricevi un’email del tipo “URGENTE: Aggiorna il tuo account ora o il mondo finirà”, respira profondamente e, per favore, non cliccare subito. Lo so, sembra proprio il messaggio che potrebbe mandare il tuo capo alle 22:00 perché ha “dimenticato” la password. Eppure, fidati, Bill Gates non ti chiederà mai il codice di accesso al server della tua azienda via Gmail.

Ecco come funziona il magico mondo del phishing:

  1. Arriva l’email magica: A prima vista sembra legittima, magari usa pure il logo della tua banca o della tua azienda. Che gentile! Ma aspetta, è facile falsificare un logo o un indirizzo email. Sai quanti “Elon Musk” ci sono là fuori pronti a regalarti qualche Bitcoin? Nessuno. Ma loro proveranno comunque a convincerti del contrario.
  2. Sembra tutto vero… quasi troppo: Oh sì, anche il tono è familiare, e ti dicono che devi fare qualcosa “immediatamente”. La pressione è palpabile. Il tempo scorre, il mondo brucia, devi agire ora! O… forse no?
  1. Tu clicchi, e… boom!: Magia nera! Hai appena scaricato ransomware o, ancora meglio, hai consegnato la chiave del regno aziendale. Complimenti, sei parte di uno scherzo non proprio divertente.

Come salvarsi prima che sia troppo tardi?

Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure banalmente un curioso di qualsiasi età, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

  • Creare Un Sistema Ai Di Visual Object Tracking (Hands on)
  • Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake
  • Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?
  • Come Hackerare Un Sito WordPress (Hands on)
  • Il Cyberbullismo Tra Virtuale E Reale
  • Come Entrare Nel Dark Web In Sicurezza (Hands on)

  • Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
    Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    Senti, non c’è bisogno di essere un detective informatico per difendersi dai truffatori online. Basta seguire alcune semplici regole, tipo non dare il codice della tua cassaforte a qualcuno che si presenta alla tua porta con una pizza gratuita. Ma ecco alcune dritte più utili:

    Non scaricare immagini automaticamente!

    Hai mai notato che la tua email a volte scarica automaticamente le immagini? Non è sempre una funzione migliorativa, a volte ti espone a diversi rischi. Non farlo! Sai perché? Scaricare immagini permette ai truffatori di sapere che la tua casella di posta è attiva e che tu hai appena letto la mail che ti hanno inviato. È come un segnale di fumo che dice: “Ehi, esisto, attaccami con qualcosa di più elaborato!”. Non scaricare nulla automaticamente e, se possibile, disattiva questa funzione nelle impostazioni del tuo client email. Fai loro capire che con te non si scherza!

    Ecco le guide tecniche per i due client web di riferimento:

    Come verificare l’autenticità del mittente (no, non basta guardare il nome)

    Ti arriva una mail da un certo “[email protected]”. Sembra legittimo, ma è davvero così? Attenzione: il campo del mittente può essere falsificato in modo semplice, quindi non fidarti solo del nome. Prima di agire, verifica l’indirizzo e assicurati che non ci siano avvertimenti dal tuo provider di posta. Se ti avvisa che l’autenticità del mittente non può essere verificata, allerta rossa! Ignora l’email o segnalala.

    Per fare un controllo più approfondito, una volta che il tuo client non ti ha allertato, puoi utilizzare strumenti affidabili che ti permettono di verificare se quell’indirizzo email è autentico e a chi potrebbe appartenere:

    Controlla i link, non cliccarli a caso

    Ti tentano con un link? Fermati un attimo e pensa. Cliccare senza controllare è come infilare la mano in un buco senza sapere cosa c’è dentro. Controlla i link prima di seguirli. Fai clic con il tasto destro, copia l’URL e incollalo su siti come VirusTotal per verificare se il dominio è pulito o potenzialmente dannoso. Se hai meno tempo, almeno incolla il link in un blocco note per vedere l’URL completo e capire se effettivamente appartiene al presunto mittente. Se il mittente dice di essere “LaBancaDellaPace” e il dominio è qualcosa tipo “truffabank.ru”, beh, sai già che stai per cascare male.

    Sandbox e macchine virtuali: il campo di battaglia perfetto

    Ricevi un allegato? Attenzione, è un potenziale campo minato! Non aprirlo direttamente! Se proprio devi scaricarlo, fallo in un ambiente sicuro, come una sandbox o una macchina virtuale. Crea uno snapshot prima, testa il file senza connessione alla rete e poi elimina tutto ripristinando lo snapshot. Anche se apparentemente non succede nulla di strano, non fidarti. Carica comunque l’allegato su VirusTotal per un controllo extra. Meglio passare qualche minuto a fare verifiche che vedere tutto il sistema infettato da malware.

    Immagine generata con Dall-E

    Quindi? Occhi Sempre Aperti!

    Il phishing è un gioco di manipolazione. Truffatori brillanti, capaci di usare trucchi psicologici e tecnici per convincerti che l’email ricevuta è del tutto autentica. Ma con queste tecniche, puoi fargli capire che hai qualche asso nella manica. Non scaricare immagini, controlla ogni link e mittente, e testa sempre gli allegati in un ambiente protetto. Insomma, l’obiettivo è rendere il loro “lavoro” più complicato e farti una bella risata mentre ti guardi indietro, sapendo di aver evitato l’ennesima trappola.

    Vuoi saperne di più?

    Dai un’occhiata ai precedenti articoli della nostra rubrica, Fondamenti di Cybersecurity per le PMI:

    Francesco Adriani
    Ingegnere informatico con oltre dieci anni di esperienza nell'automazione industriale e nella sicurezza informatica. Consulente informatico e insegnante della scuola secondaria statale, dove forma le future generazioni di professionisti digitali. Collabora con Red Hot Cyber come divulgatore, condividendo la sua conoscenza su sicurezza informatica, automazione e IoT. ComptiaSec+. Profilo Linkedin dell'Autore

    Articoli in evidenza

    Verso il GDPR 2.0 a favore del settore tech e delle PMI, ma a quale costo?

    La notizia è stata anticipata da politico.eu: a partire da maggio 2025, la Commissione von der Leyen revisionerà il GDPR introducendo semplificazioni. Certo, non sarebbe male pubblicare prim...

    Kidflix è crollato! La piattaforma dell’orrore è stata smantellata: 79 arresti e 39 bambini salvati

    Oggi i bambini sono un po’ più al sicuro grazie ad una operazione di polizia coordinata da Europol che ha portato alla chiusura di Kidflix. Si tratta di una delle più grandi piattafor...

    Arriva Flipper One! : Kali Linux, FPGA e SDR in un solo dispositivo?

    Uno degli autori di Flipper Zero, Pavel Zhovner, ha condiviso i dettagli su come stanno procedendo i lavori su una nuova versione del multi-strumento per hacker: Flipper One. Lo sviluppatore ha pubbli...

    DarkLab intervista HellCat Ransomware! La chiave è “assicurarsi che tutti comprendano la cybersecurity”

    Il ransomware HellCat è apparso nella seconda metà del 2024 e ha attirato l’attenzione degli analisti grazie all’umorismo delle sue dichiarazioni pubbliche. Ricordiamo l’...

    X/Twitter nel Caos! Un Threat Actors pubblica 2.8 Miliardi di Account Compromessi

    Il 28 marzo 2025, un utente del noto forum di cybersecurity BreachForums, con lo pseudonimo ThinkingOne, ha rivelato quello che potrebbe essere il più grande data breach mai registrato nel mondo ...