Come prevenire gli attacchi di phishing via e-mail: una guida rapida.

Il phishing via e-mail è una delle minacce informatiche più gravi del nostro mondo digitale. Ecco come mantenere i vostri account online al sicuro dagli hacker.

Recognizing a phishing email is very easy in Tuta Mail.

Uno degli attacchi più comuni su Internet, che rappresenta una minaccia sottovalutata per la vostra sicurezza online, sono gli attacchi di phishing e le truffe via e-mail. Fingendosi grandi organizzazioni, i truffatori cercano di impossessarsi delle vostre informazioni sensibili e delle vostre credenziali di accesso, come le password. Tuttavia, tenendo a mente alcuni suggerimenti, potete facilmente evitare che il phishing abbia successo.


Gli attacchi di phishing via e-mail esistono da quasi 30 anni. Il primo utilizzo del termine risale al 1995 e all’epoca i tentativi di phishing erano molto facili da individuare. Tuttavia, man mano che questi attacchi diventano sempre più sofisticati, le persone cadono sempre più spesso negli attacchi di phishing e devono tenersi informati sulle tendenze e sulle tattiche attuali degli aggressori per proteggere se stessi e i propri account online. Un rischio piuttosto nuovo è rappresentato dalle e-mail di phishing mirate, dirette a vittime di alto profilo e realizzate appositamente per loro. Questa tecnica rende ancora più difficile riconoscere queste e-mail di phishing mirate come truffe. Attacchi importanti come quello del ransomware WannaCry sono iniziati con un attacco di phishing mirato, prima che gli hacker malintenzionati intraprendessero ulteriori azioni.

Ma l’utente medio di Internet non deve (ancora) preoccuparsi di attacchi mirati, anche se l’intelligenza artificiale potrebbe portare questa minaccia sul tavolo di tutti nel prossimo futuro. Nella maggior parte dei casi, i criminali utilizzano e-mail di phishing piuttosto standard per ottenere l’accesso ai vostri account online, il che può consentire loro di rubare la vostra password, il vostro denaro o installare malware sui vostri dispositivi.

Che cos’è il phishing via e-mail?

Il phishing è una delle truffe online più comuni: Attori malintenzionati si spacciano per aziende come Amazon, Facebook o Tuta Mail, inviando e-mail che fingono di provenire da queste organizzazioni per rubare password o altre informazioni sensibili.

In altre parole: Il phishing via e-mail è una forma di ingegneria sociale utilizzata dai criminali che cercano di accedere ad account o sistemi a cui non hanno il permesso di accedere. Un’e-mail di phishing è camuffata in modo da sembrare un’e-mail legittima proveniente da un servizio o da una piattaforma che quasi sempre include un link in cui viene richiesto di accedere al proprio account per intraprendere qualche tipo di azione.

Queste e-mail sono spesso accompagnate da una scadenza che induce allo stress, come “Conferma subito la password o il tuo account sarà bloccato entro 24 ore e tutti i dati andranno persi”. Questo senso di urgenza sfrutta un punto debole della nostra psicologia e il destinatario della mail di phishing è più propenso a cliccare rapidamente sul link per evitare problemi, cadendo così nella trappola. A volte, al posto di un link, l’e-mail include un allegato che contiene codice maligno che verrà eseguito se la vittima lo scarica e lo apre.

Poiché l’invio di e-mail è gratuito, il phishing è una delle tattiche di criminalità informatica più utilizzate a livello mondiale. Mentre il numero di e-mail di phishing aumenta, aumentano anche i metodi di protezione e prevenzione. Tuttavia, alcune e-mail di phishing riusciranno sempre a sfuggire e a raggiungere la vostra casella di posta, e voi stessi siete l’ultima linea di difesa. Continuate a leggere per scoprire perché la vostra casella di posta elettronica viene presa di mira dal phishing e come evitare che gli attacchi di phishing abbiano successo!

Perché le caselle di posta elettronica vengono prese di mira con le e-mail di phishing?

Il vostro account di posta elettronica contiene molte informazioni sensibili e funge da fulcro della vostra vita digitale. Per registrarsi sulla maggior parte dei siti come Amazon, PayPal, eBay ecc. è necessario fornire un indirizzo e-mail, e istituzioni importanti come le banche inviano informazioni via e-mail. Questo rende il vostro account di posta elettronica il bersaglio numero uno per due motivi.

  1. Molte persone ricevono e-mail di phishing che sono falsificate in modo tale da sembrare provenienti da Facebook, Google, o dalla loro banca, ecc. e che chiedono loro di inserire i dati di accesso dopo aver cliccato su un link fornito.
  2. Gli attacchi di phishing mirano anche direttamente alla casella di posta elettronica, cercando di ottenere l’accesso alla casella di posta elettronica. Questo è ancora più pericoloso perché quando gli aggressori hanno accesso alla vostra casella di posta elettronica, possono utilizzare una semplice reimpostazione della password per tutti gli account online collegati al vostro indirizzo e-mail e in questo modo ottenere l’accesso ai vostri account per abusarne.

Come faccio a sapere se un’e-mail è di phishing?

Le e-mail di phishing di solito cercano di impersonare grandi organizzazioni, alcune delle quali potrebbero avere un account con voi. Questo rende le cose difficili, perché a prima vista potreste pensare che l’e-mail si riferisca al vostro vero account sulla piattaforma che la truffa sta fingendo di essere. Con pochi consigli, potete assicurarvi che le e-mail di phishing non vi inducano a rivelare la vostra password o a scaricare allegati dannosi.

  1. Controllate sempre nel dettaglio l’indirizzo e-mail del mittente. Spesso il mittente è diverso dal mittente tecnico, e questo è un trucco comune utilizzato dai truffatori via e-mail.
  2. Se vi viene chiesto di inserire le credenziali di accesso tramite un link fornito, dovreste iniziare a suonare il campanello d’allarme. Se ritenete che un’e-mail possa essere legittima, utilizzate il vostro motore di ricerca preferito , che si spera non sia Google, per individuare il sito web attraverso un link ufficiale prima di effettuare l’accesso. Non utilizzate il link fornito nell’e-mail! Molti servizi ora tengono un registro dei messaggi di sicurezza inviati al vostro account e potete controllare lo stato delle e-mail dall’aspetto sospetto.
  3. Controllate attentamente il link: Se gli aggressori cercano di rubare il vostro login Tuta, ad esempio, il link fornito sarà simile, ma non perfettamente corrispondente. Invece di Tuta.com, gli aggressori potrebbero utilizzare 7uta.com.

Inoltre, verificate i seguenti dettagli per decidere se un’e-mail è di phishing o meno. I segnali tipici del phishing sono

  • Richiesta di azione immediata
  • Errori di ortografia e di grammatica
  • Offerte che sembrano troppo vantaggiose
  • Affermazione di aver vinto del denaro
  • Indirizzo alla persona sbagliata
  • Provenienza da uno strano dominio di invio o da un indirizzo Gmail
  • Allegati sospetti
  • Richiesta di cliccare su un link e di cambiare la password

Individuare un’e-mail di phishing potrebbe non essere facile in tutti i casi, ma l’elenco sopra riportato di esempi utilizzati nelle tipiche e-mail di phishing vi aiuterà. In caso di dubbio: meglio ignorare l’e-mail che eseguire azioni che potrebbero mettere nei guai il vostro account reale.

Come fermiamo le e-mail dannose in Tuta

Negli ultimi anni abbiamo assistito a un aumento del numero di e-mail di phishing che cercano di impersonare il personale ufficiale di Tuta per rubare le credenziali di accesso. Ecco perché abbiamo migliorato Tuta per rendere ancora più difficile per i malintenzionati attirare i nostri utenti a consegnare password o dati di accesso preziosi.

Abbiamo introdotto una funzione per aiutare gli utenti che si chiedono come segnalare le e-mail di phishing e come prevenire gli attacchi di phishing. Ogni volta che le e-mail di phishing vengono segnalate in Tuta Mail, tutti gli altri utenti che ricevono e-mail simili vedranno un banner di avviso visualizzato sopra l’e-mail di phishing sospetta. Questo aiuterà tutti a individuare le e-mail di phishing e a non cadere negli attacchi di phishing. Inoltre, le e-mail di phishing saranno esaminate dal nostro team di sicurezza e i mittenti saranno bloccati manualmente per non raggiungere i nostri server e, quindi, la vostra casella di posta elettronica.

Warnbanner, das einer potenziellen Phishing-E-Mail in Tuta Mail hinzugefügt wird. Warnbanner, das einer potenziellen Phishing-E-Mail in Tuta Mail hinzugefügt wird. Banner di avviso aggiunto a una potenziale e-mail di phishing in Tuta Mail.

Per ulteriori informazioni sulla protezione rafforzata contro il phishing integrata in Tuta , cliccate qui.

Funzioni antiabuso di Tuta Mail

  1. Segnaliamo le e-mail se l’indirizzo e-mail del mittente è sbagliato. Quando si accede al browser, l’intestazione della casella di posta Tuta mostra il nome e l’indirizzo e-mail del mittente, in modo da poter individuare facilmente se un’e-mail proviene da un mittente sbagliato. Nell’app l’indirizzo e-mail del mittente non viene mostrato automaticamente, ma è possibile controllarlo facilmente toccando il nome del mittente.
  2. Tuta è uno dei pochi servizi di webmail che avvisa l’utente se il “mittente tecnico” è diverso dal “mittente da ”, in modo da poter individuare le e-mail contraffatte.
  3. Gli aggressori spesso fingono un’urgenza temporale e chiedono di inserire le credenziali di accesso seguendo un link fornito. Non cadete mai in queste e-mail: si tratta di una tipica strategia di phishing.

Il consiglio più importante per prevenire gli attacchi di phishing è molto semplice:

Non cambiate mai la vostra password quando vi viene chiesta all’improvviso via e-mail.

Come capire se qualcuno si spaccia per Tuta

Ora vorremmo spiegarvi come ci assicuriamo che nessuno possa rubarvi l’indirizzo e-mail e la password di Tuta spacciandosi per noi. Prima di tutto, e soprattutto, quando ricevete un’e-mail dal team Tuta, non vi chiederemo mai di cliccare su un link per confermare o aggiornare la vostra password o altre credenziali di accesso.

Non chiediamo mai la vostra password.

In Tuta abbiamo reso estremamente facile individuare un’e-mail che tenta di impersonare il team Tuta: Come dimostra l’esempio di e-mail di phishing riportato di seguito, queste e-mail NON contengono una tag line rossa (verde menta se si utilizza il tema scuro). L’esempio seguente mostra la differenza. La prima e-mail è stata inviata da un utente Tuta casuale che ha cercato di spacciarsi per uno dei membri del nostro team, mentre la seconda proviene effettivamente da uno dei membri del nostro team, in questo caso da Brandon. Poiché le e-mail di Tuta possono essere controllate solo nei client di posta di Tuta su Android, iPhone e PC, è molto facile per noi distinguere visivamente tutte le e-mail ufficiali che provengono da noi, come si può vedere dalla scritta colorata “Tuta Team”.

Phishing-E-Mail-Beispiel und Tuta-E-Mail im Vergleich. Phishing-E-Mail-Beispiel und Tuta-E-Mail im Vergleich.

Un’e-mail proveniente dal team ufficiale di Tuta mostrerà sempre una riga rossa (verde menta se si utilizza il tema scuro) con la scritta “Tuta Team”.

Se l’e-mail proveniente da noi è un annuncio, come nella schermata seguente, non c’è alcun nome o indirizzo e-mail accanto alla tag line. Se l’e-mail proviene dal nostro team di assistenza o da uno dei nostri membri, l’indirizzo e-mail è scritto accanto alla riga rossa (o verde menta) del Tuta Team.

Questa riga non può essere aggiunta da qualcuno che si spaccia per noi e che cerca di rubare la vostra password Tuta. Questa riga è integrata nel codice dei nostri client di posta elettronica per Android, iOS, Windows, Linux e macOS e viene visualizzata solo per le e-mail ufficiali del team Tuta.

Eine verschlüsselte Tuta-E-Mail-Ankündigung Eine verschlüsselte Tuta-E-Mail-Ankündigung

Dominio e-mail ufficiale del team Tuta: @tutao.de

Quando abbiamo iniziato a costruire Tuta, sapevamo che per un servizio di posta elettronica è di fondamentale importanza che nessuno possa impersonare noi o i membri del nostro team. Tuttavia, tutti possono registrarsi per qualsiasi indirizzo e-mail Tuta o Tutanota.

Per risolvere questo dilemma, fin dall’inizio abbiamo utilizzato il nostro dominio aziendale piuttosto che i domini Tuta e Tutanota come indirizzi e-mail ufficiali. La nostra azienda, che sta dietro a Tuta, si chiama Tutao GmbH. Se si riceve un’e-mail dal team di Tuta, l’indirizzo di posta elettronica terminerà sempre con @tutao.de.

Non possiamo reimpostare la password per salvaguardare il vostro account Tuta.

I criminali amano abusare della funzione di reimpostazione della password via e-mail per accedere agli account online con e-mail di phishing. Per proteggere al massimo la vostra casella di posta elettronica criptata, non è possibile richiedere il reset della password Tuta via e-mail. Al contrario, durante il processo di creazione dell’account viene generato un codice di recupero unico che può essere utilizzato per reimpostare la password in qualsiasi momento.

Se non potete chiedere il ripristino della password, non può farlo nemmeno un criminale che si spaccia per voi. Ricordate di conservare la password e il codice di recupero in un luogo sicuro. Solo voi stessi potete reimpostare la password con l’aiuto del codice di recupero.

Riconoscere le e-mail sospette

Anche identificare le e-mail di phishing provenienti da altri servizi è facile quando si utilizza Tuta. Quando si riceve un’e-mail sospetta, si può fare clic sull’icona ”…” in alto a destra della casella di posta e scegliere “Mostra intestazioni e-mail”. Si aprirà una piccola finestra che mostra le informazioni tecniche sul mittente dell’e-mail in questione. Qui è possibile verificare lo stato dei controlli DKIM, DMARC e SPF, per confermare se il mittente dell’e-mail è stato spoofato o meno.

Inoltre, la maggior parte delle e-mail spoofate sarà già contrassegnata dall’avviso di phishing, come mostrato nella schermata precedente con il titolo: “Banner di avviso che viene aggiunto a una potenziale e-mail di phishing in Tuta Mail”. Questo può essere visualizzato grazie a tutti gli utenti di Tuta che segnalano le e-mail di phishing, aiutando così gli altri utenti a stare al sicuro!

Se sembra sbagliato, probabilmente lo è

Ogni volta che si riceve un’e-mail dall’aspetto sospetto, è molto probabile che si tratti di un’e-mail di phishing. In caso di dubbio, chiedete pure. Potete trovarci facilmente su Twitter, Mastodon, Facebook o Instagram e, naturalmente, via e-mail.

Se ricevete una potenziale e-mail di phishing da un dominio Tuta, vi preghiamo di inoltrarla a abuse@tutao.de.

Grazie e rimanete al sicuro!


Ulteriori letture consigliate: Guida alla sicurezza delle e-mail: 3 semplici passi per mantenere le vostre e-mail al sicuro dagli hacker e Guida alla sicurezza delle password: Come scegliere una password sicura.