Molti attacchi informatici oggi non passano da virus “tecnici”, ma da pagine web finte che imitano alla perfezione siti reali: banca, posta elettronica, corrieri, servizi di firma, portali aziendali.
La trappola è semplice: ti fanno credere di essere sul sito giusto e ti spingono a inserire username, password, dati di pagamento.
Per questo la regola numero uno è: prima di scrivere, guarda l’indirizzo.
Vediamo come farlo in modo semplice e concreto.
1. URL, dominio, HTTPS: cosa guardare davvero
Quando apri una pagina dove ti viene chiesto di inserire credenziali o dati sensibili (login, carte, IBAN):
- guarda la barra dell’indirizzo del browser
- controlla:
- HTTPS (lucchetto attivo)
- il dominio (la parte tipo
nome-sito.com) - che non ci siano strane aggiunte (es.
-secure-login,-verify, numeri strani)
Il lucchetto da solo non basta a garantire che il sito sia legittimo, ma se manca, è già un enorme campanello d’allarme.
2. Domini quasi identici: il trucco delle lettere
I siti falsi spesso usano nomi quasi uguali ai veri, cambiando una lettera o aggiungendone una:
azienda.it→azlenda.it(L al posto di I)miofornitore.com→mioforn1tore.com(1 al posto di i)banca-esempio.it→banca-esempio-pay.it
A colpo d’occhio sembrano uguali, soprattutto se arrivi da:
- email con link
- messaggi “clicca qui per accedere”
- banner finti
Regola pratica: se devi fare login in un servizio importante (banca, portale aziendale, strumenti di lavoro):
👉 non fidarti dei link nei messaggi, digita tu l’indirizzo nella barra del browser o usalo dai preferiti.
3. Pagine di login “strane”: piccoli segnali da notare
Anche se la pagina assomiglia all’originale, ci sono dettagli che non tornano:
- logo sgranato, colori leggermente diversi
- lingua mista (metà italiano, metà inglese / frasi tradotte male)
- testo generico tipo “Caro utente” invece del nome
- richieste insolite:
- ti chiede PIN o codici che di solito non inserisci lì
- ti chiede dati della carta di credito su una pagina dove normalmente non compaiono
Se qualcosa ti fa pensare “mah, è un po’ diverso dal solito”, ascolta quel dubbio.
4. Pop-up di login che “copiano” quelli veri
Un altro trucco diffuso: finti pop-up di login che imitano:
- Microsoft 365
- strumenti di lavoro (CRM, gestionali, ecc.)
Si aprono sopra la pagina che stai visitando e ti chiedono di “rifare l’accesso”.
Prima di scrivere username e password:
- guarda in alto nel browser:
stai ancora sul dominio ufficiale (accounts.google.com,login.microsoftonline.com) oppure no? - se il pop-up non è quello del browser, ma solo una grafica dentro la pagina, sospetto alto.
5. Come comportarsi in pratica (senza diventare paranoici)
Qualche abitudine semplice che puoi adottare subito:
- Per banca, email e portali aziendali, non usare i link che ti arrivano:
- apri una nuova scheda
- scrivi tu l’indirizzo o usa il preferito salvato
- Se ti arriva un’email che dice “il tuo account sarà bloccato, accedi subito”:
- non cliccare
- vai tu sul sito ufficiale e controlla da lì se ci sono avvisi
- Quando inserisci credenziali o dati di pagamento:
- dedica 3 secondi a controllare l’indirizzo in alto
- Se non sei sicuro:
- fai uno screenshot (ripulito dai dati sensibili) e chiedi a chi si occupa di IT o sicurezza in azienda
- meglio una domanda in più che una password in meno
6. Una frase da tenere a mente
Prima di scrivere la password, guarda dove sei.
Se diventa un riflesso automatico per tutti in azienda, hai già alzato di molto il livello di protezione, senza installare nulla e senza complicare la vita a nessuno.
