Blog di Spaceship

I diversi volti delle minacce email

Le truffe email si presentano in tutte le forme e dimensioni. Alcune sono così evidenti da risultare ridicole: non è stato fatto alcuno sforzo per mascherare la truffa.

Ma non pensare che siano tutte così. Le truffe email sembrano diventare sempre più subdole e creative. Sono il tipo di truffe che persino il più esperto di tecnologia della Gen Z, cresciuto praticamente dormendo su un iPad, guarderebbe due volte prima di rendersene conto. Se non fossero così diaboliche, potresti perfino fermarti ad ammirarne l’approccio. Ti mostreremo come riconoscere il phishing e altre comuni truffe email e come difenderti da esse.

Un rapido tuffo nel passato

Molti di noi ricordano i primissimi giorni delle truffe email — giorni felici in cui eravamo sia più ingenui, ma anche meno fiduciosi verso le email. Quando ricevevamo una truffa, la leggevamo con confuso interesse, cercando di capire perché il mittente pensasse che noi fossimo la persona giusta a cui chiedere aiuto.

Chi si ricorda di The Spanish Prisoner? Un’anima sfortunata di grande ricchezza, che aveva disperatamente bisogno che la aiutassimo a pagare il riscatto per poter essere liberata dalla prigione. Divertentemente, questa truffa precede in realtà l’email, avendo origine all’inizio del XIX secolo. Evidentemente, da qualche parte un navigatore di Internet fuori dagli schemi ha deciso di digitalizzarla.

Oggigiorno, le truffe email sfruttano molto di più i punti di forza del loro formato digitale. A differenza di alcune delle truffe OG, utilizzano i vantaggi che Internet ha iniziato a offrire nel corso degli anni — come la possibilità di elaborare facilmente pagamenti online, una maggiore dipendenza dall’email per le nostre comunicazioni più importanti e l’evoluzione dei social media, per citarne solo alcuni.

Indizi di una truffa, fin da subito

Prima di dare un’occhiata più da vicino ai diversi tipi di truffe email, condivideremo alcune regole generali che puoi usare per aiutarti a identificare una truffa/spam via email — perché condividono tutti elementi comuni: un mittente, un oggetto, il testo del messaggio e, forse soprattutto, la necessità di essere letti e creduti.

Nome dell’azienda/del mittente

Fai attenzione a:

  1. Errori di battitura o stilizzazione errata — Paypal vs. PayPal.

  2. Qualcosa che sembra eccessivamente descrittivo o improbabile — AA Car Emergency vs. AA.

  3. Aziende con cui non fai acquisti/non hai rapporti — Una nota di Barclays quando hai il conto con Lloyds.

  4. Qualsiasi cosa sembri strana — Da simboli e nomi aziendali bizzarri a spaziature insolite — a volte c’è semplicemente qualcosa che non convince nel mittente.

Indirizzo email del mittente

Fai attenzione a:

  1. Un indirizzo email incongruente — Qualcosa che contrasta con il nome dell’azienda.

  2. Imitazioni — Un indirizzo progettato per sembrare quello dell’azienda reale. Potrebbe essere il dominio (@paypalcare.com) o il TLD (@paypal.club).

  3. Errori— Errori di battitura o altre irregolarità nell’indirizzo.

Oggetti delle email

Fai attenzione a:

  1. Frasi progettate per provocare urgenza — ‘Avviso: ultimo sollecito di pagamento’.

  2. Linguaggio che promette troppo — ‘Guadagna £1000 in cinque minuti’.

  3. Linguaggio che provoca una forte reazione emotiva — ‘Sei assunto! Inizia domani!’

  4. Errori di battitura — I truffatori non sono noti per la loro buona grammatica.

  5. Uso eccessivo di punteggiatura o emoji — Poche aziende reali le usano.

  6. La presenza di ‘Re’ — Potrebbe essere usato per suggerire che hai già risposto quando non l’hai fatto.

  7. Pulsanti e allegati— Evita sempre di cliccare sui pulsanti o scaricare allegati nelle email sospette.

Testo del messaggio

Fai attenzione a:

  1. Promesse incredibili— Simili alla versione nell’oggetto, ma nel corpo del testo c’è spazio per espandersi, il che offre l’opportunità di rendere le bugie più convincenti.

  2. Inviti all’azione che cercano informazioni personali — Soprattutto indirizzo o dati della carta.

  3. Riferimenti a qualcosa che non ricordi— Da eventi a servizi che non hai mai ricevuto

  4. Impersonificazione— Qualcuno che afferma di essere un amico o un parente, ma non sembra lui.

Ora che hai un po’ di contesto su come i truffatori possono manipolare le diverse parti di un’email, esaminiamo esempi specifici.

Malware

Per molti, gli attacchi malware sono probabilmente il primo tipo di email dannosa che abbiamo davvero temuto. All’epoca, probabilmente li chiamavamo semplicemente virus email. La apri, lo schermo diventa nero. Fine del gioco. Quel genere di cose.

In realtà, il malware copre un’ampia varietà di attacchi malevoli — e alcuni di essi sono, francamente, parecchio più spaventosi di una rapida morte del computer.

Monitoraggio dei tasti premuti? Consumo della CPU a tua insaputa? Spionaggio? Comparsa forzata di annunci loschi ogni cinque minuti? Sì, il malware comprende un’ampia varietà di piccoli programmi che si annidano nel tuo computer senza che tu lo sappia, e le loro funzioni spaziano da quelle associate a burloni malintenzionati fino a veri e propri criminali. Sono elusivi e spesso difficili da eliminare — questo se sai che ci sono.

Come rilevare il malware

Se stai riscontrando uno dei sintomi elencati sopra, ci sono buone probabilità che si tratti di malware. Potrebbe provenire da un’email — ma non necessariamente. Ci sono anche altri modi in cui questi programmi possono annidarsi nel tuo computer — download, siti web loschi e persino dispositivi hardware dannosi. Se trovi mai una chiavetta USB per strada, non controllare cosa contiene.

Proteggiti dal malware

A rischio di dire l’ovvio, prova un software di rilevamento malware. Ma scegline uno affidabile.

Se cerchi su Google come prevenire il malware in primo luogo, il consiglio principale è installare un software antivirus. Personalmente, non conosco nessuno che lo faccia dalla fine degli anni 2010, ma chi sono io per contraddire l’interezza della conoscenza umana e dell’esperienza di massa omogeneizzate in una risposta di una riga da Gemini, servita in una frazione difrazione di secondo?

Detto questo, la protezione dalle minacce offerta dai sistemi operativi è generalmente migliore rispetto ai primi tempi; Windows in particolare si aggiorna per proteggere dalle minacce, ma soprattutto, molti software email stanno facendo il lavoro per noi, filtrando le email sospette prima che ci raggiungano.

È una buona idea trovare un provider email che promuova una buona protezione contro il malware e che analizzi le tue email prima che ti raggiungano. Questo è particolarmente utile quando si tratta di evitare attacchi psicologici (e ci arriveremo tra un momento).

Se parliamo di protezione, piuttosto che di prevenzione, è una buona idea mantenere backup regolari, nel caso in cui tu venga colpito da uno di questi attacchi. Personalmente consiglio qualcosa come Mega Sync, che si aggiorna ogni volta che salvi un file.

Phishing

Oggigiorno, è probabilmente più facile imbattersi in una truffa di phishing via email. Perché? Perché come una melodia orecchiabile o il profumo della primavera, siamo tutti suscettibili al loro fascino. Ma come si può identificare il phishing?

Gli attacchi di phishing sono efficaci per via della loro versatilità. A volte non è difficile rilevare il phishing. Possono essere qualsiasi cosa: letteralmente qualsiasi cosa che induca qualcuno a inserire i propri dati personali. Pensa a qualsiasi motivo per cui potresti sentirti spinto a condividere i tuoi dati personali o a inviare denaro a qualcuno, e ha il potenziale per diventare un’email di phishing.

Ecco solo alcuni esempi e tieni presente che la chiave del phishing è che tutte queste email sembrano reali, ma sono false:

  1. Notifica di reimpostazione della password.

  2. Compila i dati bancari mancanti.

  3. Completa il tuo indirizzo postale per abilitare la consegna.

  4. Rinnova il tuo abbonamento.

  5. Sei il vincitore di un concorso!

  6. Un amico in difficoltà che chiede aiuto.

  7. Notifica di rimborso fiscale.

  8. Richiesta di donazioni benefiche.

Se non hai mai visto una truffa di phishing, sei davvero un pesce? Sono così onnipresenti che è difficile immaginare l’email senza di loro. Ma c’è più di un modo di pescare…

Spear phishing e whaling

Lo spear phishing e il whaling prendono di mira individui specifici, spesso con tattiche più aggressive.

Lo spear phishing usa conoscenze personali, di solito ottenute da diverse fonti, per creare email più convincenti. Poiché è scritto usando informazioni personali, potrebbe fare riferimento ad amici reali, situazioni reali o persino impersonare una banca (ecc.) in modo più convincente. Se pensi che questo sia improbabile nel tuo caso, tieni presente che la maggior parte delle persone ha online più informazioni accessibili pubblicamente di quanto si renda conto.

Se qualcuno si spacciasse per tuo amico e facesse riferimento a un evento molto specifico a cui avete partecipato entrambi un decennio fa, perché non dovresti crederci? Potrebbe volerci un po’ prima di ricordare che ne hai parlato in dettaglio su Facebook e che il post è visibile pubblicamente. Quando ti chiederà di prestargli del denaro, forse gli darai una mano.

Siamo tutti suscettibili allo spear phishing, il che lo rende più pericoloso delle truffe più evidenti. Un aspetto fortunato è che il livello di ricerca necessario per mettere in atto con successo una truffa di spear phishing scoraggia la maggior parte dei truffatori. È più facile per loro puntare su un’email di massa a cui risponderanno meno persone. Ma è qui che in futuro entrerà in gioco l’AI? Dobbiamo restare vigili.

Whaling

Quindi, cos’è il whaling? Beh, per molti aspetti, un attacco di whaling è praticamente uguale allo spear phishing, ma è specificamente rivolto a individui facoltosi, come i CEO.

La triste realtà è che il loro status li rende sia bersagli migliori su cui vale la pena investire tempo, sia soggetti con diversi fattori (come ricchezza, responsabilità, mancanza di tempo e ampia rete di contatti) che offrono varie debolezze da sfruttare. Per esempio, forse basta convincere un assistente personale o una segretaria di avere il sigillo di approvazione del CEO. Quindi, sembra che il whaling commerciale sia sempre una brutta cosa.

Come proteggersi dallo spear phishing e dal whaling

Oltre a quanto elencato nella nostra guida generale qui sopra, dovresti anche impostare un forte filtraggio dello spam. Il fattore umano è davvero il punto forte delle email di phishing. Se il malware è un semplice trucco, allora a un certo livello il phishing richiede la nostra complicità. Dopotutto, dobbiamo essere noi a cedere le nostre informazioni. Come abbiamo discusso, lo fa facendo leva sulla nostra risposta emotiva.

Quindi, assicurarsi di non entrarci mai in contatto in primo luogo è il modo più forte per combatterlo. I filtri antispam cercano molteplici elementi quando valutano un’email che noi esseri umani non possiamo cogliere. Incrociano blacklist, modelli comportamentali noti e persino un metodo noto come filtraggio bayesiano. Questo confronta il contenuto di un’email con spam noto e email legittime per calcolare la probabilità che sia spam. Inoltre, i buoni filtri antispam terranno conto di ciò che altri utenti contrassegnano come spam, creando quello che è noto come un ciclo di feedback degli utenti.

Email aziendale compromessa

Leggermente diverso da tutto ciò che abbiamo visto finora, questo arriva dall’angolazione opposta — l’idea che un account email legittimo sia stato compromesso. Non deve necessariamente essere un account aziendale, ma ai fini di questa sezione ci sono alcuni fattori più interessanti di cui parlare se immaginiamo che lo sia.

Se un truffatore riesce a ottenere illegalmente l’accesso a un account email aziendale, può spacciarsi per dipendenti per richiedere fondi o persino accesso ad altri sistemi interni che potrebbero includere dati sensibili.

Compromettere un account aziendale sfrutta anche un’altra particolarità sociale insita in molte aziende, in particolare quelle più grandi: è improbabile che ogni membro del personale conosca tutti gli altri. Questo, unito al fatto che ci si aspetta che le persone siano educate in un ambiente di lavoro, significa che queste email hanno vantaggi extra rispetto agli account privati.

Come proteggersi da questo

Assicurarsi che tutti i dipendenti utilizzino l’autenticazione a due fattori (email 2FA) e scelgano password robuste riduce notevolmente il rischio di account rubati/hackerati. La 2FA garantisce che il titolare dell’account saprà sempre se qualcuno tenta di entrare, e una password robusta rende più difficili gli attacchi brute-force.

Puoi anche ridurre la probabilità di problemi futuri disattivando immediatamente gli account dei dipendenti che lasciano l’azienda. Un cimitero di account inutilizzati che prende polvere è solo un incidente in attesa di accadere.

Fatture false

Uno dei temi che potresti notare è lo sfruttamento di diversi estremi emotivi. Finora abbiamo considerato la paura o la disattenzione di un CEO e la presunta apatia di un dipendente verso un altro. Ora proviamo con la rabbia.

Qualcuno sostiene che tu gli debba del denaro e pretende un rimborso immediato. È arrabbiato, dice cose che ti fanno dubitare dei tuoi ricordi o crea una situazione di cui non puoi essere sicuro che non sia reale. Il livore e la rabbia aumentano finché quasi sembra più facile pagarlo.

Questo potrebbe non sembrare probabile per molti di noi, ma forse è proprio questo l’aspetto peggiore: è probabile che ‘noi’ non siamo i loro bersagli. Il loro successo sarà tra i vulnerabili. Coloro che forse davvero non ricordano, o si fidano di più degli estranei.

Prevenzione

Se presumiamo che noi non pagheremo fatture casuali ricevute via email, potrebbe valere la pena cogliere questa occasione per suggerire di parlare con le persone della tua vita che hanno meno esperienza online. Chiedi loro se hanno bisogno di aiuto per identificare le truffe e spiega che solo perché qualcuno chiede denaro non rende legittima la sua richiesta. Dopotutto, dobbiamo prenderci cura gli uni degli altri e nessuno vuole vedere qualcuno cadere dritto in una truffa evidente.

Ci sono risorse a cui puoi indirizzare le persone che possono accompagnarle nel processo in modo semplice da usare.

Truffe con offerte di lavoro

A differenza di alcune delle altre, queste possono essere difficili da individuare anche per i più esperti tra noi. Una ragione è che non esistono nel vuoto dell’email. Se uno di noi ricevesse dal nulla un’email che dice che ha ottenuto un lavoro, capirebbe subito che si tratta di spam. Ma se non fosse andata così?

E se la truffa fosse iniziata come un vero annuncio su un vero sito di lavoro? Ti sei candidato insieme a molti altri lavori reali e sembrava plausibile quanto tutti gli altri. Beh, allora questa è un’email che ti aspetti — che speri, persino, di ricevere. E, in modo simile allo spear phishing, questo crea un’opportunità più elaborata per una truffa. Perché tu ora sei un partecipante consenziente — almeno, all’inizio.

Ma in cosa? Queste truffe possono assumere miriadi di forme, ma essenzialmente, come gli antichi schemi piramidali del passato, chiedono denaro in anticipo con il pretesto di coprire costi, acquistare attrezzature o persino formazione per la posizione — e nulla di tutto ciò è reale. A volte potrebbero esserci anche altri nel sistema che credono che sia reale, e questo può suggerire una legittimità che in realtà non esiste.

Come individuare una truffa con offerta di lavoro

Ci sono alcuni indizi a cui puoi prestare attenzione quando ti candidi per un lavoro e che potrebbero indicare che il lavoro non è legittimo:

  1. Stipendi irrealistici — Se qualcosa sembra troppo bello per essere vero, probabilmente non lo è.

  2. Lavori vaghi o improbabili — Qualcuno avrebbe davvero bisogno o desiderio che qualcuno svolga questo ruolo?

  3. Nessun colloquio necessario — O un’offerta di lavoro frettolosa senza la dovuta verifica.

  4. Comunicazioni poco professionali — Richiesta di più dati di quanti dovrebbero essere necessari.

  5. Assenza di presenza online dell’azienda — O un’azienda il cui sito web sembra un po’ losco. Immagini stock, recensioni improbabili, nessun contenuto reale — quel genere di cose.

Allo stesso modo, non vuoi eliminare lavori legittimi solo per via di un annuncio messo insieme male. Quindi la cosa principale a cui prestare attenzione è chiunque chieda denaro prima che tu inizi. Non ci sono quasi mai casi in cui un lavoro dovrebbe richiederti di pagare qualcosa in anticipo, tanto meno di svolgere mansioni gratuitamente.

Per quanto tu sia sicuro del processo fino a quel momento, nel momento in cui il discorso si sposta sul trasferimento di denaro, stai certo — è una truffa.

Truffe romantiche

Probabilmente la manipolazione emotiva più forte di tutte: come ci sentiamo quando siamo innamorati.

Ho esperienza personale di qualcuno che su un’app di incontri mi ha chiesto di prestargli del denaro (ed è proprio lì che oggi è più probabile che si verifichi questo tipo di truffa). Non è così raro come potresti pensare — e in alcuni casi potremmo persino avere difficoltà a pensare che si tratti di una truffa…

I confini si fanno rapidamente sfumati quando il cuore comincia a prevalere sulla testa. Forse una parte di noi pensa persino: “forse mi stanno prendendo in giro, ma cosa sono dieci sterline quando si tratta d’amore?”. Ma quella persona potrebbe passare tutto il giorno sull’app di incontri. Se riesce a convincere dieci persone al giorno a donare dieci sterline, allora in realtà non è un cattivo stipendio. E sarebbe senza dubbio classificato come una truffa.

Come evitare di innamorarti di una truffa romantica

A rischio di sembrare una rubrica del cuore, non lasciarti guidare dal cuore. Se la tua testa ti dice che è una truffa, probabilmente lo è. Non dare mai denaro a qualcuno che non conosci bene, per quanto dichiari di amarti. È una triste realtà della vita che le persone usino gli estremi delle emozioni per manipolare.

Truffe a premi

Probabilmente molti di noi ricordano di aver ricevuto per posta un volantino che diceva che avevamo vinto alla lotteria e che dovevamo chiamare un numero per riscattare il premio. Suppongo fosse inevitabile che anche questo diventasse un’email.

Non c’è molto altro da dire qui che non sia già stato detto nelle altre sezioni. Forse possiamo semplicemente creare un mantra per la vita. Se un’email dice che hai vinto un premio, non hai vinto un premio*.

*A meno che tu non abbia vinto un premio. Ma sicuramente non hai vinto un premio. Smetti di pensare al premio.

Prevenzione

Guarda, davvero, davvero non hai vinto un premio. Compra un biglietto della lotteria se proprio devi — ma premi quel pulsante spam.

Proteggere te stesso e gli altri

Seriamente, che si tratti di spam o di truffa, non c’è davvero nulla da ridere. Le persone si fanno davvero male, perdono denaro o poi si sentono stupide.

Abbiamo suggerito diversi modi per proteggerti, ma in realtà tutto si riduce a tre cose:

  • Abilita quanta più sicurezza possibile

Qualsiasi cosa offra il tuo provider, che si tratti di 2FA, password generate automaticamente o persino crittografia — qualunque cosa sia. Configurala. Rende semplicemente il tuo account un po’ più difficile da compromettere.

  • Scegli un provider attento alla sicurezza

Un provider con un solido software di gestione dello spam e frequenti aggiornamenti di sicurezza è probabilmente la tua migliore forma di protezione continua come azienda. La maggior parte delle truffe che abbiamo descritto inizia e finisce con la gestione dello spam. Se non le vediamo mai, non diventano mai un problema.

  • Tieni il polso della situazione

Le truffe di phishing non smettono mai di evolversi. Prendono di mira te, non la tua casella di posta, quindi tu sei la tua migliore difesa.

Ci sono pratiche che usi per evitare di cadere nello spam e nelle truffe? Ci piacerebbe conoscerle! Lascia qualsiasi pensiero o domanda nella sezione commenti qui sotto

Domande frequenti

Il phishing consiste fondamentalmente nell’inviare email fingendosi qualcun altro (di solito un’azienda) per indurre il destinatario a compiere un’azione. Le azioni di solito comportano l’invio di denaro, dati della carta o altri dati sensibili.

Il whaling prende di mira una persona specifica con un patrimonio più elevato. Un CEO aziendale o simile. Creare un’email su misura per colpire una singola persona è considerato vantaggioso per il potenziale guadagno netto più elevato.

In generale, cerca indirizzi email che non corrispondono all’azienda da cui dichiarano di provenire, formattazione trascurata, refusi e URL progettati per sembrare simili ma che non sono reali (joe@paypal-us.com).

Un buon filtro antispam ti proteggerà dalla maggior parte delle minacce. Le email truffa funzionano prendendo di mira le persone, convincendoci che siano reali. Quando non entriamo affatto in contatto con esse, non rappresenteranno un problema.

Dipende dal tipo di truffa e da quando ti rendi conto di esserne stato vittima. Se hai già effettuato un pagamento, contatta la tua banca il prima possibile per vedere se il pagamento può essere annullato. Se hai fornito i dati della carta, blocca e annulla la carta interessata. Non ci sono garanzie che riavrai i tuoi soldi, ma puoi certamente prevenire ulteriori danni. Cambiare le password degli account potenzialmente compromessi è anche una buona idea e, se sospetti un attacco malware, esegui una scansione dei tuoi dispositivi.

Le aziende sono più a rischio in un certo senso: hanno molti dati nei loro sistemi che potrebbero essere utili per attaccare altre persone. Violando un’email aziendale si può potenzialmente ottenere una grande mailing list. Inoltre, in termini di phishing e whaling, ci sono opportunità diverse. Per esempio, il fatto che le persone potrebbero non conoscere personalmente tutti coloro che chiedono loro denaro. Quindi i rischi sono leggermente diversi e probabilmente più marcati.

Una formazione di base, affinché tutto il personale sappia riconoscere l’aspetto delle minacce via email, è probabilmente la migliore misura preventiva. Inoltre, è importante avere un buon provider di posta elettronica aziendale che offra protezioni come filtri antispam, autenticazione a due fattori e aggiornamenti sulle minacce.


Articoli suggeriti

Commenti (2)

  • Immagine del profilo di Lily Simon

    Lily Simon

    9 ago 2025

    Another thing is these scamming companies/businesses have also taken to putting in fake Unsubscribe links. If you see a weird sender like g44tjw9@coldmail.inc, and there's an unsubscribe button/link... They get the most people with that it seems. I know I (before I was knowledgeable of this) used to fall for these to the point my eldest Gmail gets 77 emails a day (more: got. I don't pay attention to it anymore), and only ONE of those are legit. That was how I learnt my mistake.
    Sono richiesti più di 10 caratteri.
    La tua identità per la visualizzazione pubblica.
    Fornire il tuo indirizzo email è facoltativo. Non sarà condiviso con terze parti.

    • Immagine del profilo di Olha Nesen. Product and Marketing Coordinator

      Olha Nesen. Product and Marketing Coordinator

      13 ago 2025

      You’re absolutely right — fake “unsubscribe” links are a common trick used in phishing and spam campaigns, and they can be very convincing. Clicking them often confirms to the sender that your address is active, which can lead to even more unwanted messages. We recommend avoiding those links from suspicious senders and using your email provider’s spam or junk reporting tools instead. It’s great that you’ve recognized the pattern — awareness is one of the best defenses against these tactics💪

Condividi i tuoi pensieri

Sono richiesti più di 10 caratteri.
La tua identità per la visualizzazione pubblica.
Fornire il tuo indirizzo email è facoltativo. Non sarà condiviso con terze parti.

Aiutaci a migliorare il nostro blog

Condividi i tuoi pensieri in un rapido sondaggio di due minuti.

È richiesto un indirizzo email valido