Autore: Esobit - 10/11/2025 - Articolo

Una mattina qualunque, un click di troppo

Luca apre la casella di posta come ogni giorno. Tra i messaggi ce n’è uno urgente:
Oggetto: Il tuo account Microsoft sarà sospeso se non confermi l’accesso.

Il mittente sembra affidabile — [email protected] — e a prima vista tutto appare autentico. Ma Luca nota un dettaglio quasi invisibile: il dominio non è microsoft.com, bensì rnicrosoft.com. Quelle due lettere, “r” e “n”, accostate tra loro imitano perfettamente una “m”, creando un falso credibile progettato per rubare credenziali attraverso una pagina di accesso identica all’originale. Questa truffa, nota come typosquatting o più semplicemente email con dominio falso, è uno dei metodi più ingannevoli e diffusi del phishing moderno.

Cos’è il typosquatting e perché è così pericoloso

Il typosquatting è una tecnica di phishing visivo: gli attaccanti registrano domini web che sembrano identici a quelli originali, ma contengono piccole variazioni.

Ecco qualche esempio reale:

• paypaI.com invece di paypal.com 

• g00gle.com invece di google.com 

• microsoft-support-login.com invece di microsoft.com 

   

Dopo aver registrato il dominio ingannevole, i truffatori inviano email che riproducono logo, grafica e tono del mittente reale in modo quasi indistinguibile; l’obiettivo è spingere la vittima a cliccare e inserire password o dati della carta su una pagina fasulla, apparentemente legittima ma progettata solo per rubare le credenziali.

Come riconoscere un’email falsa (prima che sia troppo tardi)

Imparare a riconoscere un’email di phishing è la prima difesa contro truffe e furti d’identità, queste sono 4 regole "must do" prima di considerare un mittente "sicuro":

1. L’indirizzo del mittente

Controlla sempre ciò che segue la @: se vedi errori o domini strani (@rnicrosoft.com, @secure-microsoft.co), è quasi sicuramente falso.

2. Il link nel messaggio

Passa il mouse sul link senza cliccare: se l’indirizzo reale non coincide con quello scritto, non aprirlo.

3. Il tono dell’email

Diffida dei messaggi che creano urgenza o paura: le aziende serie non chiedono mai dati sensibili via email.

4. Il certificato HTTPS

Il lucchetto indica solo che la connessione è sicura, non che il sito sia autentico: anche la maggior parte dei siti falsi utilizzano la connessione sicura.

Cosa fare se hai cliccato su un’email sospetta

Se hai già inserito le credenziali o cliccato su un link sospetto, agisci subito: cambia immediatamente la password dell’account compromesso e disconnetti tutte le sessioni attive dal pannello del tuo profilo (che sia Microsoft, Google o aziendale). Poi verifica che non siano state create regole di inoltro o accessi non autorizzati, e informa subito l’amministratore IT o il reparto sicurezza per permettere una verifica più approfondita. Infine, attiva l’autenticazione a due fattori (2FA o MFA): anche se qualcuno dovesse ottenere la tua password, non potrà accedere senza la seconda conferma.

Come difendersi dalle truffe via email

Le email di phishing con domini falsi sono sempre più credibili, ma bastano buone abitudini digitali per difendersi.

Per gli utenti:

Utilizza sempre un password manager, che inserisce automaticamente le credenziali solo sui domini autentici, impedendo errori su siti falsi. Accedi ai servizi digitando manualmente l’indirizzo nel browser o tramite segnalibri salvati, evitando di seguire link ricevuti via email. Attiva la verifica in due passaggi (2FA) su tutti i tuoi account per aggiungere un ulteriore livello di sicurezza, e non aprire mai allegati o link provenienti da messaggi inattesi, anche se sembrano comunicazioni ufficiali di aziende note.

Per le aziende:

Configura correttamente DMARC, SPF e DKIM per impedire che mittenti falsi possano inviare email a nome della tua azienda. Attiva filtri avanzati in grado di riconoscere tentativi di impersonation e bloccare messaggi sospetti prima che raggiungano la casella dei dipendenti. Monitora costantemente la rete per individuare domini simili o potenzialmente fraudolenti registrati da terzi e intervieni tempestivamente. Infine, forma regolarmente il personale con brevi sessioni di cyber awareness, perché la consapevolezza rimane la prima e più efficace difesa contro il phishing.

Perché è così facile cadere nella trappola

Gli attacchi di phishing più efficaci non puntano alla tecnologia, ma alla psicologia. Sfruttano l’abitudine, la fiducia nei brand e la stanchezza. Per questo anche utenti esperti o interi reparti aziendali possono sbagliare. Ma la soluzione non è la paura: è la consapevolezza. Una lettera in più o in meno può fare la differenza.

Conclusione: un piccolo gesto che vale tanto

Luca, il protagonista della nostra storia, non ha cliccato. Ha notato quel “rn” sospetto e ha avvisato il reparto IT, il dominio è stato segnalato, bloccato e condiviso con il resto del team. Da un singolo controllo visivo è nata una lezione di sicurezza per tutta l’azienda.

La cybersecurity non inizia dai firewall, ma dallo sguardo di chi legge un’email.