IllogicoMatematico SCUDO DIGITALE
Vai alle demo

Modulo 2 — Attacchi & Truffe

Tipi di Attacchi Informatici

Quasi tutti gli attacchi puntano a una cosa: farti compiere un’azione sbagliata (clic, login, codice, pagamento). Qui trovi le tipologie principali, con esempi concreti e difese immediate.

Regola “2 Red Flag”

Se ne vedi 2 (urgenza + link / richiesta codice / pagamento strano) → STOP e verifica da canale ufficiale.

Obiettivi tipici

Soldi • Dati • Accesso • Reputazione (impersonificazione).

Catena d’attacco

Aggancio → Accesso → Persistenza → Danno.

Difese base

Passphrase unica + 2FA • Update • Permessi minimi • Backup 3-2-1.

1) Social engineering & phishing

Qui “l’hack” è psicologico: fretta, paura, curiosità. Il messaggio è costruito per ridurre il tuo tempo di pensiero.

Phishing (email/DM)

Cosa fa: ti porta su una pagina finta di login o ti chiede dati/codici.

Esempio: “Accesso sospetto. Verifica subito o perdi l’account.”

Difesa: non cliccare; apri l’app/sito ufficiale, controlla dominio reale.

Smishing (SMS/WhatsApp)

Cosa fa: come il phishing, ma via messaggio breve (più “urgente”).

Esempio: “Consegna fallita: paga 1,99€.”

Difesa: mai pagare da link; verifica su app del corriere/servizio.

Quishing (QR)

Cosa fa: usa QR per aprire link malevoli senza “farti leggere” l’URL.

Esempio: QR su volantino → finta pagina di accesso.

Difesa: preview URL, evita QR sconosciuti, usa scanner che mostra il link.

2) Malware & ransomware

Software dannoso: può rubare dati, controllare il dispositivo o bloccarlo per estorsione.

Malware “classico”

Cosa fa: installa componenti nascosti, ruba dati, apre backdoor.

Vettori: allegati, app non ufficiali, crack/mod, link “miracolosi”.

Difesa: store ufficiale, permessi minimi, aggiornamenti, antivirus dove serve.

Ransomware

Cosa fa: cifra i file e chiede riscatto.

Segnale tipico: “I tuoi file sono bloccati”.

Difesa: backup 3-2-1 + patch + niente allegati sospetti.

Adware / estensioni malevole

Cosa fa: pubblicità invasive, redirect, tracciamento.

Vettori: estensioni browser “troppo utili”, app gratuite aggressive.

Difesa: installa solo estensioni note, controlla permessi, disinstalla il superfluo.

3) Attacchi agli account (password & sessioni)

Non serve “hackerare” se la password è riusata o se ti rubano la sessione già loggata.

Credential stuffing

Cosa fa: prova email+password rubate su altri siti (effetto domino).

Difesa: password unica per sito + password manager + 2FA.

Password spraying

Cosa fa: poche password comuni su molti utenti.

Difesa: passphrase lunga, blocco tentativi, 2FA.

Furto sessione (token/cookie)

Cosa fa: se prende il “gettone di accesso”, entra senza password.

Difesa: non loggarti su PC pubblici, logout, aggiornamenti, attenzione a malware/estensioni.

4) Attacchi di rete (Wi-Fi & comunicazioni)

Qui l’obiettivo è intercettare, manipolare o dirottare traffico. Molte difese sono “igiene di rete”.

Wi-Fi “fake” (Evil Twin)

Cosa fa: rete con nome simile (es. “Bar_WiFi_Free”) per intercettare connessioni.

Difesa: evita Wi-Fi aperti, usa hotspot personale o VPN; non inserire credenziali su reti dubbie.

Man-in-the-Middle (MITM)

Cosa fa: si mette “in mezzo” tra te e il sito/app.

Difesa: HTTPS, aggiornamenti, evitare reti non fidate, attenzione a certificati/avvisi browser.

DDoS (Disponibilità)

Cosa fa: sovraccarica un servizio per renderlo irraggiungibile.

Difesa: riguarda più servizi/aziende; per utenti: avere canali alternativi e backup dati offline/cloud.

5) Identità, truffe “su misura” e impersonificazione

Più dati pubblici = più materiale per costruire truffe credibili. L’attacco diventa “personalizzato”.

Impersonificazione

Cosa fa: profilo fake con tuo nome/foto per scrivere ad amici o diffondere contenuti.

Difesa: account privato, verifica impostazioni, segnala subito, avvisa i contatti.

SIM swapping (raro ma pesante)

Cosa fa: tenta di ottenere la tua SIM per ricevere SMS/OTP.

Difesa: preferisci 2FA via app, PIN SIM, blocchi operatore dove disponibili.

Deepfake / audio fake

Cosa fa: voce/video “finti” per convincere o ricattare.

Difesa: parola-chiave in famiglia/gruppo, doppia verifica su canale diverso.

Checklist rapida: cosa fare quando “sembra urgente”

1) Stop

Non cliccare, non pagare, non inviare codici. Respira 10 secondi.

2) Verifica

Apri l’app/sito ufficiale (non dal link) o chiama il numero ufficiale.

3) Proteggi

Cambia password, attiva 2FA, controlla sessioni/dispositivi collegati.

Vai a “Come proteggersi” Apri “Link utili”