controllatruffa.it

LINK PHISHING

Link phishing: come capire se un URL è pericoloso

I link phishing imitano siti reali per rubare credenziali, codici e dati di pagamento. Una verifica rapida riduce il rischio, anche quando l'URL compare dentro uno screenshot di SMS, WhatsApp o email.

SEGNALI

Cosa controllare prima di cliccare

Dominio diverso dal brand ufficiale

Il dominio principale dell'URL non coincide con quello del servizio (es. poste-sicuro.com invece di poste.it).

Sottodomini o parole aggiunte

Parole come 'sicuro', 'verifica', 'aggiornamento' davanti al dominio noto (es. poste.it.verifica-account.com — il dominio reale è verifica-account.com).

URL lungo o con caratteri strani

Sequenze di numeri, trattini o caratteri non latini che sostituiscono lettere simili (es. rn al posto di m, 0 al posto di o).

Richieste immediate di password o OTP

La pagina chiede subito credenziali, codici di verifica o dati di pagamento senza contesto.

AZIONI

Se hai dubbi sul link

  1. Non aprirlo dal messaggio

    Chiudi la conversazione. Aprire il link, anche solo per 'curiosità', conferma al truffatore che il tuo numero è attivo e può esporre il dispositivo a pagine clonate.

  2. Apri il sito ufficiale a mano

    Digita l'indirizzo del servizio nel browser o apri l'app ufficiale. Qualunque avviso autentico sarà visibile anche da lì.

    → Apri l'analizzatore

  3. Se hai già cliccato, contieni il danno

    Cambia la password del servizio coinvolto, attiva la 2FA, monitora estratti conto e accessi anomali. Conserva screenshot del link per eventuali segnalazioni.

    → Dove denunciare

CONTESTO

Come funziona un link di phishing

I truffatori costruiscono URL che a prima vista sembrano ufficiali. Le tecniche più comuni sono l'uso di sottodomini ingannevoli (ad esempio poste.it.verifica-account.com dove il dominio reale è verifica-account.com), errori ortografici voluti simili al brand originale, o nomi di dominio che aggiungono parole come "sicuro", "verifica" o "aggiornamento".

In molti casi il link porta a una pagina graficamente identica a quella reale, con logo, colori e layout copiati. L'unica differenza è l'indirizzo nella barra del browser — ma arrivando da un SMS o da una notifica push, quella barra è spesso nascosta o difficile da leggere.

La regola più efficace resta non usare mai il link ricevuto nel messaggio. Se il mittente dice di essere la tua banca, Poste, un corriere o un ente pubblico, apri direttamente l'app ufficiale o digita manualmente l'indirizzo nel browser. Qualunque comunicazione autentica sarà visibile anche da lì.

DOMANDE FREQUENTI

Domande frequenti

HTTPS rende un link sicuro?

No. HTTPS protegge la connessione, ma non garantisce che il sito sia legittimo.

I link accorciati sono sempre pericolosi?

Non sempre, ma nascondono il dominio reale: richiedono maggiore prudenza.

Cosa fare se ho inserito password su un sito phishing?

Cambia subito password, revoca sessioni attive e abilita autenticazione a due fattori.

CORRELATI

Altre risorse utili

→ Truffe SMS→ Numero sospetto→ Dove denunciare→ Guida anti-truffa

Ricevi alert sulle truffe in circolazione

Seguici su Telegram — pubblichiamo nuovi pattern e checklist rapide prima di cliccare o pagare.

Apri il canale Telegram →