Phishing: i trucchi dei truffatori
E-mail o SMS: grazie all’intelligenza artificiale, gli attacchi di phishing stanno diventando sempre più sofisticati e difficili da riconoscere. Particolarmente insidiosi sono gli attacchi omografici. Seguendo alcune semplici regole di comportamento, è possibile evitare gravi danni.

Raccomandare l’articolo
In Svizzera, nel 2024 si sono registrati circa 6,7 milioni di tentativi di attacchi di phishing. Lo rivelano alcune indagini. I criminali cercano di accedere ai dati delle loro vittime: si tratta, ad esempio, delle credenziali per l’e-banking, di account presso fornitori di streaming e rivenditori online, oppure dei dati della carta di credito.
Per ottenere queste informazioni, inviano email o messaggi brevi falsificati, in cui invitano le vittime a cliccare su un link per aggiornare, ad esempio, i dati di accesso o le informazioni di pagamento, sbloccare un conto o partecipare a un concorso. Questi link rimandano a siti web contraffatti, che imitano in modo ingannevole quelli originali.
L’intelligenza artificiale rende il phishing sempre più efficiente ed efficace. Per i destinatari è sempre più difficile riconoscere i messaggi fraudolenti. Da un lato, i testi sono redatti in modo più credibile rispetto a qualche anno fa e spesso assomigliano alle comunicazioni reali inviate dalle aziende.
Dall’altro lato, anche sul piano tecnico i truffatori si fanno sempre più abili. Inseriscono, per esempio, all’interno del messaggio falso un link al reale servizio clienti. In questo modo inducono i destinatari a credere che si tratti di un messaggio autentico. Sperano così che le vittime si sentano al sicuro e clicchino sul link di phishing.
Un nuovo fenomeno aumenta il rischio di confusione
A complicare ulteriormente l’individuazione dei messaggi falsi contribuisce un nuovo fenomeno: gli attacchi con omografi. I criminali sfruttano la somiglianza (o identicità) visiva tra diversi caratteri per simulare una falsa identità. A tal fine registrano indirizzi Internet che, a un primo sguardo, sembrano autentici, ma che utilizzano varianti di singole lettere o cifre.
Un esempio semplice: la lettera O e il numero 0, così come la lettera maiuscola I e la minuscola l sono molto simili. Alcune lettere dell’alfabeto cirillico – come a, c, e, o, p, x e y – appaiono quasi identiche alle rispettive lettere latine. Le differenze sono impercettibili o invisibili a occhio nudo, ma il significato cambia completamente.

La lettera cirillica ''а'' assomiglia a quella latina. I truffatori ne approfittano registrando indirizzi Internet in cui mescolano caratteri appartenenti a diversi alfabeti. Per l’utente l’indirizzo sembra autentico, ma in realtà conduce a un sito contraffatto.
In questo modo, i truffatori possono indurre le vittime a cliccare su link apparentemente legittimi che, in realtà, portano a siti di phishing (ad esempio, bank-x.com con una “x” cirillica). Oppure inviano email con indirizzi del mittente che appaiono autentici (come chef [at] xyz-ag.ch con una “a” cirillica). I destinatari finiscono così per credere erroneamente di aver ricevuto una comunicazione legittima o di trovarsi sul sito web corretto.
Come proteggersi
Gli sviluppatori di browser e i provider di indirizzi Internet stanno cercando di proteggere sé stessi e gli utenti da questo tipo di attacchi. Ad esempio, in alcuni casi non è consentito registrare nomi di dominio contenenti caratteri di alfabeti diversi. Inoltre, esistono software di sicurezza in grado di rilevare e bloccare in parte le e-mail di spam e phishing. I software di sicurezza più moderni analizzano anche gli indirizzi web per individuare potenziali attacchi omografici. Ma la difesa più importante resta la vigilanza degli utenti.
Alcuni consigli fondamentali
- Non riveli dati sensibili: nessuna banca, nessun istituto di carte di credito e nessun fornitore affidabile le chiederà di fornire password, numeri di carte di credito o credenziali per l’e-banking tramite e-mail, telefono, WhatsApp o SMS. Non comunichi mai questi dati, anche se la richiesta sembra autentica. Mantenga un atteggiamento diffidente.
- Non si lasci mettere sotto pressione: non clicchi su link contenuti in e-mail sospette o se ha un brutto presentimento. Non importa quanto drammatica o urgente possa sembrare la comunicazione: non si lasci mai influenzare dalla fretta.
- Utilizzi l’app ufficiale: le viene chiesto via e-mail di sbloccare un accesso o aggiornare il metodo di pagamento? Non clicchi sul link, ma acceda direttamente al sito ufficiale digitando l’indirizzo manualmente nella barra del browser. Acceda direttamente al sito ufficiale digitando l’indirizzo manualmente nella barra del browser. Meglio ancora: utilizzi l’app ufficiale del suo istituto finanziario o fornitore.
- Non risponda: se qualcosa le sembra strano, non risponda a contatti sospetti. In caso di dubbio, è sempre meglio contattare direttamente il suo fornitore per telefono.
- Aggiorni il software: utilizzi un software di sicurezza aggiornato sul tuo computer e mantieni aggiornato anche il browser. Se possibile, attivi gli aggiornamenti automatici. Ricordi di aggiornare regolarmente anche le app sul suo smartphone.
- Attenzione a SMS e telefonate: i truffatori possono falsificare il nome visualizzato per simulare un mittente o un chiamante legittimo.
Vuole saperne di più sui tentativi di frode e su come riconoscerli o ha altre domande sulla cybersicurezza? Ordini la scheda informativa gratuita sull'argomento oppure si rivolga al suo consulente.

