Skip links

Spam, phishing, vishing e smishing: facciamo chiarezza

Spam, phishing, vishing e smishing: letti tutti insieme sembrano quasi uno scioglilingua!

Si tratta di termini poco familiari di cui oggi giorno si sente spesso parlare, ma in effetti potrebbe accadere di non sapere esattamente cosa vogliano significare.

Sei confuso? Andiamo a scoprire il loro significato!

Con il termine Spam si indica di solito l’invio di messaggi commerciali (come email, messaggi di testo, post sul web) inviati a un grande numero di destinatari o pubblicati in un elevato numero di luoghi.
Alcuni sistemi (basti pensare alle caselle email) riescono a classificare in maniera automatica un messaggio come spam e posizionarlo nella posta indesiderata.

Computer Monitor screen, concept of spam email




Con il termine Phishing (letteralmente “pescatore di dati personali”, cioè un vero e proprio un ladro di identità) si indica la ricezione di un’email che invita il lettore a fornire dati sensibili (come username, password, dati della carta di credito, …) spacciandosi per qualcun’altro, ad esempio la nostra Banca. Cadere “nella trappola” del ladro di identità è molto semplice: basta cliccare un link sospetto o aprire/scaricare un allegato sospetto all’interno della mail.


L’attacco mira a raccogliere informazioni e dati sensibili mascherandosi da entità affidabile. Inizia con un’e-mail personalizzata o un’altra comunicazione elettronica in cui l’attaccante utilizza l’ingegneria sociale per indurre l’utente a intraprendere un’azione: fornisce informazioni riservate o consiglia l’installazione di un software – che poi si scoprirà essere dannoso (ad es. virus) – guadagnandosi la fiducia del lettore. Nel frattempo però tesse la sua trappola e con un solo click sbagliato può iniziare a raccogliere informazioni, rubare documenti, credenziali di accesso, o ancora accedere e infettare altri computer. L’attaccante quindi utilizza le informazioni raccolte per danneggiare il malcapitato (ad es. svuotare il suo conto in banca, divertirsi con i suoi conti…).

Ebbene, si tratta di una pratica ormai così comune che i tentativi di phishing possono assumere davvero molte forme (purtroppo!).


Esiste ad esempio il phishing effettuato tramite una semplice telefonata, denominato vishing o voice phishing. Ma come funziona? Lo schema è molto semplice: ricevi una telefonata da una presunta azienda autorevole, come Microsoft, Google o persino dalla tua banca in cui ti viene detto che hai bisogno di aiuto per risolvere un problema tecnico; per avere il supporto però, dovrai prima verificare la tua identità e fornire i tuoi dati ad un operatore. E così in pochissimi secondi il malintenzionato ladro d’identità avrà conquistato la nostra fiducia e raggiunto il suo scopo.

C’è poi il phishing effettuato tramite SMS, chiamato smishing o SMS phishing: negli ultimi tempi si assiste ad un’evoluzione dell’attacco, che pare possa avvenire anche tramite chat su piattaforme come Whatsapp o Messenger. In generale, l’SMS o il messaggio chiederanno di cliccare un link sospetto o chiamare un numero di telefono per verificare, aggiornare o riattivare il nostro account ad esempio. In realtà però la trappola è tesa: il link riporterà ad un sito web falso e il numero di telefono ad un truffatore che fingerà di essere il rappresentante di una società leggittima.

Quindi, cosa possiamo fare?


Innanzitutto, un po’ di buon senso non fa mai male! Se pensiamo di essere stati vittime di phishing è bene effettuare tutte le verifiche del caso e accertarsi che dall’altra parte ci sia davvero qualcuno di nostra fiducia.
Ma se questo non dovesse bastare, ecco un elenco delle principali regole d’oro e attenzioni consigliate per poter continuare a lavorare serenamente senza avere paura di essere derubati dei propri dati sensibili: 

  • Mai fidarsi di comunicazioni che non convincono al 100%
  • Per attacchi di vishing, meglio farsi lasciare un numero di telefono fisso rintracciabile per poter verificare l’identità dell’interlocutore
  • Diffidare di strani errori di ortografia: ad es. no-replay invece di no-reply ed altri errori di grammatica, traduzione o formattazione
  • Posizionare sempre il puntatore del mouse sui link e anche gli indirizzi mail sospettosi prima di cliccare: in molti casi si potrà così leggere in basso a sinistra nel browser il vero nome del sito cui si verrà indirizzati
  • Meglio diffidare dei messaggi con toni intimidatori
  • Non rispondere mai alle mail in spam
  • Non aprire mai alcun link in una mail sospetta, né aprire o scaricare alcun allegato o immagine
  • Non comunicare mai a sonosciuti codici di sicurezza o altre informazioni riservate
  • Installare e tenere aggiornato sul pc o sullo smartphone un programma antivirus che protegga anche dal phishing
  • Assicurarsi che la posta elettronica abbia un sistema di protezione che indirizzi automaticamente nello spam la maggior parte dei messaggi di spam/phishing
  • Svuotare la cartella spam regolarmente
  • Impostare password alfanumeriche complesse cambiandole spesso e scegliendo credenziali diverse per ogni servizio utilizzato (banca, social, lavoro ecc). Dai un’occhiata all’articolo precedente sul blog in cui vengono dati preziosi consigli pe

 Come dice il garante della privacy, la prudenza non è mai troppa