Registrati

Cos'è lo spear phishing?

Mentre alcune truffe di phishing vengono inviate a milioni di persone nella speranza che qualcuno abbocchi, un attacco di spear phishing si concentra su un singolo bersaglio e può essere molto convincente.

Obiettivi di apprendimento

Dopo aver letto questo articolo sarai in grado di:

  • Definire lo spear phishing
  • Spiegare le differenze tra phishing, spear phishing e whaling
  • Individuare le strategie per prevenire lo spear phishing e il whaling

Argomenti correlati

Attacco di phishing

Smishing

Cos'è una minaccia interna?

Sicurezza Zero Trust

Autenticazione a due fattori

Vuoi saperne di più?

Abbonati a theNET, il riepilogo mensile di Cloudflare sulle tematiche più discusse in Internet.

Fai riferimento all'Informativa sulla privacy di Cloudflare per scoprire come raccogliamo ed elaboriamo i tuoi dati personali.

Copia link dell'articolo

Riepilogo dell'articolo:

  • Lo spear phishing è un attacco mirato tramite e-mail che utilizza informazioni personalizzate per ingannare individui o organizzazioni specifici, inducendoli a rivelare dati sensibili o a installare software dannoso sui propri sistemi.
  • A differenza delle campagne su larga scala, lo spear phishing si avvale di social engineering e attività di ricognizione per creare messaggi estremamente convincenti, rendendo queste minacce sofisticate molto più difficili da rilevare per i filtri di sicurezza tradizionali.
  • Le organizzazioni possono prevenire gli attacchi di spear phishing implementando l'autenticazione a più fattori (MFA), utilizzando soluzioni avanzate per la sicurezza della posta elettronica e fornendo una formazione costante ai dipendenti per riconoscere le tattiche di social engineering in continua evoluzione.

Cos'è lo spear phishing?

Mentre phishing è un termine generico per indicare attacchi che mirano a indurre la vittima a condividere informazioni sensibili, lo spear phishing è un attacco di phishing che prende di mira un singolo bersaglio, che può essere un individuo, un'organizzazione o un'azienda.

Gli attacchi di spear phishing sono particolarmente efficaci perché l'aggressore può utilizzare informazioni sulla vittima, spesso informazioni pubbliche trovate online, per creare uno stratagemma convincente.

Spear phishing e phishing massivo a confronto

La maggior parte degli attacchi di phishing non prendono di mira un individuo in particolare. Di solito, i messaggi di phishing vengono inviati in blocco al maggior numero possibile di persone, e i perpetratori della frode sperano che una piccola percentuale abbocchi all'amo. Questo è il modo più economico e veloce per sferrare con successo questo tipo di attacchi. Gli aggressori possono incorporare un certo grado di automazione e personalizzazione, soprattutto usando l'intelligenza artificiale, ma la personalizzazione mirata su un singolo individuo o una singola organizzazione non fa solitamente parte di una campagna di phishing massiva.

Le attività di ricerca e personalizzazione alla base dello spear phishing richiedono più impegno (e spesso più denaro) rispetto a un attacco di phishing ordinario. Per questo motivo, gli attacchi di spear phishing sono relativamente più rari, anche se vantano un tasso di successo molto alto. E quando colpiscono nel segno, causano ai loro obiettivi danni molto più consistenti.

Quali tattiche di social engineering sono utilizzate nello spear phishing?

Gli spear phisher utilizzano tattiche comuni a molti tipi di attacchi di social engineering per manipolare le proprie vittime. Questi includono:

  • Introdurre un limite di tempo, in modo che la vittima si senta obbligata ad agire rapidamente, senza prendersi il tempo di valutare attentamente la richiesta
  • Impiego di leve emotive, ad esempio mettendo l'accento sulle conseguenze negative in cui incorrerà la vittima qualora non dia corso alla richiesta
  • Creare una storia convincente, noto anche come "pretexting"
  • Includere particolari direttamente rilevanti: chiamare il destinatario per nome, inviare l'e-mail da un mittente che si trova presso la sede di lavoro del destinatario, accennare a particolari veri sulla sua vita, e così via

Quali altre tattiche vengono utilizzate negli attacchi di spear phishing?

Oltre alla personalizzazione, gli aggressori adottano spesso diverse misure per rendere più efficaci i loro attacchi.

  • Spoofing di domini e di e-mail: gli aggressori possono imitare indirizzi e-mail e URL di siti web per rendere le loro truffe più convincenti.
  • Acquisizione dell'account: invece di falsificare l'indirizzo e-mail del mittente, un utente malintenzionato può ottenere l'accesso all'account di posta elettronica di un utente affidabile e lanciare l'e-mail di spear phishing da lì
  • IA generativa: gli aggressori possono utilizzare dei modelli linguistici di grandi dimensioni (LLM) per creare o correggere i propri messaggi, oppure per studiare i propri obiettivi.

Che aspetto hanno gli attacchi di spear phishing?

Una tattica comune di spear phishing è quella in cui l'aggressore si spaccia per qualcuno che ricopre una posizione di autorità, perché è molto più probabile che le persone reagiscano positivamente a una figura autorevole.

Ecco un esempio:

Joe è l'assistente esecutivo di un'amministratore delegato di nome Mary. Un giorno, mentre Mary è in vacanza all'estero, Joe riceve un'e-mail urgente da lei. Nell'e-mail si afferma che il suo bagaglio e il suo telefono sono stati rubati. Dice di non avere né soldi né passaporto e ha bisogno che lui le invii il prima possibile le credenziali PayPal per poter prenotare un hotel e acquistare un volo per tornare a casa. Joe potrebbe vedere questo messaggio straziante proveniente dal suo datore di lavoro e inviare immediatamente le informazioni richieste.

Questo tipo di richiesta "Sono nei guai e ho bisogno di soldi" da parte di un superiore è uno script di spear phishing molto comune. Il malintenzionato potrebbe falsificare l'e-mail di Mary e inviare l'e-mail a decine di combinazioni diverse del nome e delle iniziali di Joe nella speranza di trovare quella corretta. L'autore dell'attacco potrebbe anche aver appreso dei piani per le vacanze di Mary seguendola su Twitter. Combinando tutti questi strumenti, l'autore dell'attacco può escogitare una truffa molto convincente.

Un esempio concreto degno di nota di questo fenomeno si è verificato nel 2016, quando un malintenzionato si è spacciato per l'amministratore delegato di Snapchat ed è riuscito a convincere un dipendente a consegnare informazioni riservate sulla busta paga.

Gli attacchi di spear phishing possono anche sfruttare le informazioni provenienti dalle violazioni dei dati. Un altro esempio:

Steve acquista un computer presso un importante rivenditore online, ma poche settimane dopo il rivenditore subisce una violazione dei dati. Sebbene i dati sensibili come i numeri di carta di credito e le password fossero protetti da hash, gli indirizzi e-mail dei clienti e la cronologia degli ordini sono trapelati.

Pochi giorni dopo, Steve riceve un'e-mail dal produttore del suo nuovo computer che gli annuncia che il suo modello è stato ritirato dal mercato e gli fornisce un link per ricevere un rimborso. Il link porta Steve a una versione falsa del sito Web del produttore e fornisce un modulo in cui Steve deve inserire il numero della sua carta di credito per ottenere il rimborso. L'autore dell'attacco ha utilizzato dati piuttosto innocui per guadagnare la fiducia di Steve e indurlo con l'inganno a consegnargli le sue informazioni finanziarie.

Qual è la differenza tra spear phishing e whaling?

Il whaling è un attacco di spear phishing che prende di mira una vittima di altissimo profilo, solitamente un dirigente di un'azienda o una celebrità. Gli attacchi di whaling tendono a essere più sofisticati e in molti casi gli aggressori effettuano prima attacchi di spear phishing su obiettivi più piccoli, come i dipendenti della "balena", per poi arrivare alla vittima finale.

Ad esempio,

Durante una vacanza, Mary, l'amministratore delegato, riceve un'e-mail o una chiamata da qualcuno del suo team IT che conosce e che la informa che stanno subendo un attacco informatico pertanto è necessario l'accesso al suo computer di lavoro e ai suoi account per garantire la protezione dei dati aziendali. È possibile che un aggressore abbia compromesso il suo team IT per guadagnarsi la fiducia di Mary, nella speranza di convincerla a consegnare le sue credenziali.

Come proteggersi da spear phishing e whaling

Poiché lo spear phishing coinvolge il social engineering, non esistono modi infallibili per proteggersi da questo tipo di attacchi. Tuttavia, è possibile adottare una serie di precauzioni per prevenire e mitigare i tentativi di spear phishing. Queste includono:

  • Non condividere mai informazioni finanziarie, password o altri dati sensibili per telefono, chat o e-mail.
  • Non fare clic sui collegamenti nelle e-mail, anche se sembrano provenire da una fonte attendibile. Copiare e incollare o digitare manualmente l'URL può aiutare a proteggere dagli attacchi di cross-site scripting.
  • Abilitare l'autenticazione a due fattori su tutti gli account importanti, in modo che le credenziali di accesso rubate non siano sufficienti.
  • Abilitare i criteri di sicurezza Zero Trust per garantire che un intruso non abbia accesso aperto a una rete.

INTRODUZIONE

Informazioni sulla gestione degli accessi

Informazioni su Zero Trust

Risorse VPN

Glossario

Navigazione dell’area risorse

© 2026 Cloudflare, Inc.Informativa sulla privacyCondizioni per l’utilizzoReport Problemi di sicurezzaAttendibilità e sicurezzaMarchio registrato