Phishing 2.0: le nuove truffe digitali spiegate ai genitori (e come difendersi davvero)

genitori-digitali
Genitori Digitali 12/10/2025
0 Commenti

Il phishing di oggi non è più la mail sgrammaticata con l’“eredità del principe”. È diventato un gioco di prestigio ben congegnato: messaggi puliti, loghi perfetti, numeri di telefono che sembrano veri, a volte persino chiamate vocali credibili. Una evoluzione, che unisce ingegneria sociale e strumenti tecnologici per colpire con più precisione: email, SMS, WhatsApp e telefonate vengono cuciti insieme per portare la vittima, passo dopo passo, dove serve al truffatore. Non stupisce che inganni anche persone esperte.

Negli ultimi mesi i numeri confermano la tendenza: i report dell’APWG segnalano oltre 1 milione di attacchi nel primo trimestre 2025 e 1,13 milioni nel secondo, con una crescita trainata anche da messaggi che usano QR code per portare su siti fasulli. In pratica, il criminale ti invita a scansionare un codice su un volantino, un cartello o una mail e ti ritrovi su una pagina perfetta… ma finta. È una truffa che funziona perché sposta l’attenzione dallo schermo grande del PC allo smartphone, dove controlliamo meno l’indirizzo del sito.

In Italia i criminali “parlano la nostra lingua” e sfruttano i servizi che usiamo ogni giorno. Il CERT-AgID ha segnalato diverse campagne a tema PagoPA, multe e finte comunicazioni da enti pubblici e banche. Il meccanismo è sempre lo stesso: un avviso urgente ti spinge a cliccare e a inserire credenziali o dati di pagamento. È credibile perché il tema è familiare e spesso arriva nel momento sbagliato della giornata, quando non abbiamo tempo di pensare.

C’è poi un livello più “tecnico” ma importante da conoscere. Alcuni attacchi non si limitano a rubare la password: si mettono in mezzo tra te e il sito vero, catturando la sessione e aggirando il secondo fattore (quello del codice sul telefono). Succede con i cosiddetti Adversary-in-the-Middle (AiTM), ormai usati in campagne reali. In parallelo sono ripartiti i tentativi di “push bombing”, quelle richieste di conferma MFA a raffica sperando che, per stanchezza, tu ne accetti una. Per difendersi bene, gli esperti raccomandano forme di autenticazione resistenti al phishing, come i passkey/FIDO, e metodi di MFA più robusti del semplice codice via SMS.

Che cosa significa, in concreto, per una famiglia. Prima di tutto, vale una regola semplice: non fidarti del canale, fidati solo della verifica. Se arriva un messaggio su WhatsApp dal gruppo scuola con un link per pagare una quota, non pagare da lì: apri l’app ufficiale del servizio o digita l’indirizzo a mano. Lo stesso per tasse, multe, rimborsi e “spedizioni in giacenza”. Se compare un QR code su un cartello o in una mail, chiediti se non sia più sicuro aprire tu il sito ufficiale senza scorciatoie. In caso di telefonate che parlano di “sicurezza del conto” o “pagamento urgente”, chiudi e richiama tu il numero che trovi sul sito della banca.

Un secondo passo è alzare il livello di protezione degli account importanti. Su Google, Microsoft, Apple, banche e grandi piattaforme attiva dove possibile i passkey: sono comodi come lo sblocco biometrico del telefono e, soprattutto, non possono essere rubati con una pagina finta. Se il servizio non li supporta, scegli MFA con numero da digitare o approvazione nell’app, evitando quando puoi gli SMS. E se ti arrivano tante richieste di approvazione MFA senza motivo, non accettarne nessuna: è un segnale d’allarme, da segnalare subito all’assistenza.

Con i ragazzi funziona il “gioco del detective”. Chiedi loro di mostrarti un messaggio sospetto e di indagare insieme: chi è il mittente vero? L’indirizzo del sito è scritto in modo strano? Perché tutto è urgente? È il modo migliore per insegnare che la fretta è l’arma del truffatore. E quando si sbaglia — può capitare a chiunque — è importante parlarne subito: si possono cambiare password, bloccare pagamenti e segnalare il falso messaggio senza vergogna. Il canale ufficiale per le segnalazioni in Italia è il Commissariato di P.S. online, utile anche solo per chiedere informazioni.

In sintesi, il phishing 2.0 non si batte con un “occhio clinico” ma con buone abitudini: verifiche fuori dal messaggio, canali ufficiali, autenticazione moderna e conversazioni in famiglia. È meno complicato di quanto sembri: basta rallentare un attimo e scegliere noi da dove entrare nei servizi che usiamo.

Categorie: Genitori Digitali, Notizie, Sicurezza digitale
Tags: ,
genitori-digitali
Genitori Digitali

Articoli Correlati

Psycho-hacking: il lato oscuro dell’ingegneria sociale

Lo psycho-hacking è una forma avanzata e più subdola di ingegneria sociale, che sfrutta deliberatamente e strategicamente le vulnerabilità psicologiche proprie dell’essere umano per raggiungere specifici target di attacco. Conoscerne i rischi e gli obiettivi per difendersi
L’articolo Psycho-hacking: il lato oscuro dell’ingegneria sociale proviene da Agenda Digitale.

agenda-digitale
Agenda 09/06/2025

Commenti

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Segnala

Blocca il membro?

Conferma di voler bloccare questo utente.

Non sarà più possibile:

  • Vedi i post dei membri bloccati
  • Menziona questo membro nei post
  • Invita questo membro ai gruppi
  • Invia un messaggio a questo utente
  • Aggiungi questo membro come connessione

Siete pregati di notare che: Questa azione rimuoverà anche questo membro dalle tue connessioni e invierà una segnalazione all'amministratore del sito. Si prega di attendere alcuni minuti per il completamento di questo processo.

Segnala

Hai già segnalato questo .