What's the most common type of phishing email?

Package delivery scams (USPS, FedEx, UPS impersonation) and account verification scams (Amazon, PayPal, banks). These are common because almost everyone has packages and shopping accounts. Holiday shopping season sees a massive spike in delivery scams.

How do I report a phishing email?

Three places: (1) Forward to the impersonated company — most have anti-phishing addresses (Amazon: stop-spoofing@amazon.com, PayPal: phishing@paypal.com). (2) Report to FTC at ReportFraud.ftc.gov. (3) Mark as 'phishing' in Gmail/Outlook to help filters catch future emails.

Are scam emails just an inconvenience or actually dangerous?

Actually dangerous. Phishing leads to: stolen credentials, financial fraud, identity theft, malware infection, ransomware. Clicking one wrong link can cost thousands of dollars and months of recovery. Take phishing seriously — it's not just spam.

Why do I get so many phishing emails?

Email addresses are widely available through: data breaches (your email was leaked), public records (business emails), purchased lists (some companies sell customer data), and random generation (scammers guess common emails). Reducing them: use throwaway emails for non-essential signups, never confirm 'unsubscribe' on suspicious emails.

Should I click 'unsubscribe' on suspicious emails?

No. Clicking unsubscribe confirms your email is active, often resulting in MORE phishing. Instead: mark as phishing/spam in your email client. Block the sender. Move to trash without opening. For legitimate but unwanted emails from real companies, unsubscribe is fine — for suspicious emails, never.

Can I tell who sent a phishing email?

Sometimes. Email headers contain technical info about origin. In Gmail: click the three dots → 'Show original.' Headers show: actual IP address of sender, server routing, authentication results. Most casual users won't decode this, but it can be valuable evidence for fraud reports.

Are phishing emails getting harder to spot?

Yes. AI-generated phishing is more polished — better grammar, more personalized, even using your real name from breaches. Defense: verify sender domains exactly, hover over links before clicking, never enter info from email links. Open official apps directly when in doubt.

What's smishing and vishing?

Smishing = SMS phishing (text message scams). Vishing = voice phishing (phone call scams). Same tactics as email phishing, different channels. Common: 'package delivery failed' texts, 'fraud alert' calls from 'your bank.' Same defense: verify by contacting the real company directly using official phone numbers.

Should I install antivirus software?

Modern Windows and macOS include free built-in protection (Microsoft Defender, XProtect) that's generally sufficient. Adding paid antivirus like Norton or McAfee adds minimal benefit and significant cost. Free alternatives that work: Malwarebytes (on-demand scanner), Bitwarden (password manager), Nudge (URL trust scores).

Can my email be hacked from just opening a phishing email?

Just opening, in modern email clients (Gmail, Outlook): very low risk. The danger is clicking links or opening attachments. Modern browsers and email clients block most automatic threats from just opening. But: if you open and reply with info, or click links, you can be compromised.

What if I'm not sure whether an email is real?

Don't click anything in the email. Open the official app or website directly (type the URL yourself) and check your account there. If there's a real issue, it'll be visible in the app. If not, the email was phishing. This single habit prevents 90%+ of phishing damage.

Is Nudge helpful against phishing emails?

Indirectly. Nudge doesn't scan emails, but the moment you click a link from a phishing email, Nudge identifies the destination as suspicious before you enter any info. Free Chrome extension, no signup, no data collection. Real-time URL trust scores prevent phishing damage.

Come riconoscere le email di phishing

Una guida gratuita per individuare le e-mail di conferma di acquisto false, le truffe di consegna dei pacchetti e il phishing di impersonatori nel 2026 - costruito per tutti coloro che hanno una casella di posta in arrivo.

Risposta rapida (30 secondi)

Le e-mail di phishing di solito hanno queste parole:

Il dominio Sender non corrisponde esattamente al marchio reale (amaz0n.com vs amazon.com)
Articolo successivo“Il mio account verrà cancellato entro 24 ore”
Saluti generici come "Caro Cliente" invece del tuo nome
Link che si muovono verso URL diverse da quelle visualizzate
Errori di ortografia o grammatica difficile
allegati sospetti (.zip, .exe, PDF inaspettati)
Richieste di password, numeri di carta completa o codici di accesso
Loghi o branding che guardano leggermente fuori

Linea di fondo: Quando hai dubbi, apri l'app ufficiale direttamente invece di cliccare sui link di posta elettronica.Questa singola abitudine previene il 90%+ dei danni di phishing.

Perché questo conta

Le e-mail di phishing sono il modo più comune per i truffatori di rubare credenziali e denaro. Anche le persone tecnologicamente consapevoli cadono per loro - il miglior phishing ora utilizza copia generata da intelligenza artificiale, loghi perfetti e dettagli personalizzati dalle violazioni dei dati. Nel 2024, l'e-mail è stato il modo più comune in cui i consumatori hanno riferito di essere contattati dai truffatori, con miliardi di perdite legate alle campagne di phishing.

La buona notizia: Quasi ogni e-mail di phishing ha detto. Una volta che sai cosa cercare, li troverai in pochi secondi.Questa guida ti dà 9 segni specifici da controllare prima di fare clic su qualsiasi cosa nella tua casella di posta in arrivo.

Le bandiere rosse da guardare

Questi sono i modelli specifici che i truffatori usano. Se si trovano 2 o più, andare via.

Il dominio del mittente ha le tipologie o le parole aggiuntive (amaz0n.com, amazon-deals.com)
Il saluto è generico ('Caro Cliente' invece del tuo nome)
Minacce urgenti con scadenze
I link si spostano verso URL diverse da quelle visualizzate
allegati sospetti (in particolare .zip, .exe, .pdf con nomi insoliti)
Richieste di password, numeri di carta di credito o codici di accesso
Errori di ortografia o grammatica difficile
Loghi o branding che sembrano leggermente sbagliati
Rispondere ad un indirizzo diverso dall'emittente
E-mail su un ordine o un account che non hai
Link sospetti abbreviati tramite bit.ly, tinyurl, ecc.
Email arrivato nella cartella di spam (un segnale forte)

Esempi del mondo reale

Questi modelli di truffe reali stanno accadendo in questo momento - saperli ti aiuta a scoprirli.

Esempio 1: Phishing per la verifica degli ordini di Amazon

Oggetto: 'URGENTE: Conferma il tuo recente ordine Amazon #847291.' Spedizione: 'orders@amazon-verify.co' (non @amazon.com). Corpo: 'Il tuo ordine richiede verifica. Clicca qui per confermare o il tuo account verrà sospeso.' Tutte le 9 bandiere rosse presenti. Il vero Amazon non invia mai e-mail di "verificazione richiesta o account sospeso".

Esempio 2: Notifica UPS falsa "Distribuzione fallita"

Oggetto: 'UPS Delivery Failed — Reschedule Now.' Speditore: 'no-reply@ups-deliverysystem.net' (non @ups.com). Il corpo chiede al destinatario di pagare $2,99 'commissione di ripristino' tramite il modulo incluso. UPS, FedEx, USPS non addebiteranno mai le spese per la riorganizzazione della consegna. Non richiedono mai le informazioni di pagamento via e-mail.

Esempio 3: “La tua sottoscrizione audibile” phishing

Oggetto: 'Audible: Pagamento fallito — scheda di aggiornamento.' Invia: 'billing@audible-account.com' (non @audible.com). Link a 'audible-secure-login.com' (non audible.com). Cattura le credenziali Audible reali quando le vittime cercano di 'fixare' il loro account. Se sei preoccupato per un abbonamento, apri direttamente l'app ufficiale Audible - non cliccare mai sui link di posta elettronica.

Esempio 4: Phishing per il rimborso fiscale IRS

Oggetto: 'IRS: Ti qualifichi per un rimborso di $ 1,247.' Invia: 'refunds@irs-treasury.gov' (il vero IRS è @irs.gov). Chiede per SSN, informazioni bancarie, e DOB per 'processo' rimborso. L'IRS non inizia mai il contatto tramite e-mail. Invia solo posta fisica. Qualsiasi e-mail legata alle tasse è phishing.

La soluzione permanente: perché Nudge è gratuito

La protezione non dovrebbe essere dietro un paywall.

Ma i truffatori si evolvono ogni giorno – nuovi siti simili, nuove tattiche di phishing, nuove tecniche di manipolazione. Non dovresti dover ricordare ogni bandiera rossa ogni volta che fai shopping.

Abbiamo costruito Nudge per essere il livello permanente di protezione tra te e queste truffe. punteggi di fiducia in tempo reale su ogni sito che visiti. avvisi automatici quando qualcosa sembra fuori. nessun abbonamento. nessun account. nessuna raccolta di dati. Le persone più vulnerabili alle truffe online – adulti anziani, acquirenti a basso reddito, compratori per la prima volta – sono esattamente le persone che possono permettersi strumenti di sicurezza meno costosi.

Gratuito per sempre, nessun premio

Nessun dato personale raccolto

Nessun account o iscrizione necessaria

Non vendere mai i tuoi dati

Browsing stays sul tuo dispositivo

Corre silenziosamente in background

Aggiungi a Chrome - Gratuito

Preferisci farlo manualmente? ecco come

Eseguire questi 9 controlli prima di fare clic su qualsiasi link in qualsiasi e-mail - in particolare le e-mail su ordini, consegne o problemi di account.

Controllare esattamente il dominio email del mittente

Le e-mail Amazon reali provengono da @amazon.com. I falsi sono: @amaz0n.com (zero invece di o), @amazon-support.com (parola in più), @amazon.co (mancanza di .m), @support-amazon.shop ( TLD diverso). Spostare il nome del mittente per vedere l'indirizzo email completo. Un carattere sbagliato = phishing.

Cercare minacce urgenti o pressioni temporali

"Il tuo account verrà cancellato in 24 ore". "Attività sospetta - verifica ora". "Il tuo ordine viene cancellato a meno che non lo confermi." Le aziende reali non ti minacciano. inviano notifiche educate, non urgenti. Emergency è progettato per bypassare il tuo pensiero scettico - riconoscilo come un segnale di truffa.

Guardate i saluti generici

I commercianti reali usano il tuo nome: "Hi John", "Hello Sarah". le e-mail di phishing usano saluti generici: "Caro Cliente", "Caro Utente", "Caro Titolare dell'Account".

Hover Over Links senza clic

Prima di fare clic su qualsiasi link, spostare il mouse su di esso (su desktop) o lunghissimo (su cellulare). L'URL reale appare. Confronta con il testo visualizzato. Link Amazon reale: amazon.com/orders. Falso: amazon-verify-account.com o bit.ly/2j3kx (link shorteners nascondere la destinazione reale). URL Hover non corrispondenti = phishing.

Controlla gli errori di ortografia e grammatica

Le e-mail di phishing spesso hanno tipografia, frasi scomode, punteggiatura mancanti o capitalizzazione strana. 'You're account need verification immediately' non è come scrive Amazon. Nota: l'intelligenza artificiale sta rendendo questo controllo meno affidabile, ma cattura ancora molti tentativi di phishing.

Sospettatevi degli attaccamenti

Le e-mail di acquisto reali raramente includono allegati. Se una 'confirmazione dell'ordine' ha un allegato PDF chiamato 'invoice.pdf' o 'tracking.zip' - non aprirlo. Può essere un malware.

Rifiutare le richieste di password o informazioni di pagamento

Nessuna società legittima chiede: password (non hanno mai bisogno della tua), numeri di carte di credito completi nelle risposte di posta elettronica, Numeri di sicurezza sociale o codici di accesso. Se un'e-mail richiede uno qualsiasi di questo - anche frammentato come "verificazione" - è phishing.

Verificare il logo e il design del brand

Le e-mail di phishing spesso usano loghi leggermente sbagliati, marchi obsoleti o immagini di bassa qualità. Real Amazon, Walmart, USPS, FedEx hanno un design coerente e professionale.

Controllare la risposta all'indirizzo

Dai un'occhiata al campo "Rispondi a", non solo al campo "Da".A volte le e-mail di phishing hanno un vero e proprio "Da" ma un falso "Rispondi a" (quindi la tua risposta va al truffatore).Sui client di posta elettronica desktop, questo è visibile.Sulla telefonia mobile, toccare i dettagli del mittente per vedere tutti gli indirizzi coinvolti.

Cosa fare se questo è già accaduto

Se hai cliccato su un link di phishing o hai inserito informazioni:

Non preoccuparti, ma agisci velocemente. La maggior parte dei danni è evitabile se si reagisce rapidamente.
Cambia le password immediatamente da un dispositivo pulito - iniziare con l'account che è stato phishing, quindi qualsiasi account utilizzando la stessa password.
Possibilità 2FA sul conto interessato e su tutti i conti importanti (e-mail, banche, conti di acquisto primari).
Chiama la tua banca o carta di credito se hai inserito le informazioni di pagamento. Richiedi il monitoraggio delle frodi o nuove carte.
Eseguire una scansione di malware se hai cliccato su un allegato (la versione gratuita di Malwarebytes è buona).
Segnalare le email di phishing a: il marchio impersonato (Amazon, IRS, ecc.), la FTC a ReportFraud.ftc.gov, e Google (in anticipo a phishing-report@google.com).
Monitor per 90 giorni per attività non autorizzate.

Strumenti e risorse gratuite

Tutti gli strumenti qui sotto sono gratuiti. usare multipli per la protezione più forte.

Google Navigazione sicura

Inserisci gli URL a transparencyreport.google.com per verificare se noto-cattivo.

Ho fatto la mia vita (haveibeenpwned.com)

Controlla se la tua email/password è stata rilasciata in caso di violazione dei dati.

Malwarebytes (gratuito)

Scansione per malware se hai cliccato su un allegato sospetto.

Bitwarden (Gestione delle password gratuite)

Generare password uniche per ogni account.

Google Authenticator e Google Authenticator

Le applicazioni 2FA gratuite sono molto più sicure rispetto a quelle basate su SMS.

Nudge (gratuito)

Ti avverte quando fai clic su collegamenti a siti sospetti - nessuna registrazione, nessun dato.

Leggi correlate

Deeper immersioni su marchi e categorie specifiche.

Domande frequenti

Qual è il tipo più comune di email phishing?

Scuse di consegna pacchetti (USPS, FedEx, UPS impersonazione) e scuse di verifica dei conti (Amazon, PayPal, banche). Questi sono comuni perché quasi tutti hanno pacchetti e conti di shopping.

Come segnalare un’email di phishing?

Tre luoghi: (1) Avanti alla società impersonata - la maggior parte ha indirizzi anti-phishing (Amazon: stop-spoofing@amazon.com, PayPal: phishing@paypal.com). (2) Rapporti alla FTC a ReportFraud.ftc.gov. (3) Marca come "phishing" in Gmail/Outlook per aiutare i filtri a catturare le e-mail future.

I messaggi di posta elettronica truffa sono solo un inconveniente o sono davvero pericolosi?

In realtà pericoloso. Il phishing porta a: credenziali rubati, frodi finanziarie, furto di identità, infezione da malware, ransomware. Cliccare su un link sbagliato può costare migliaia di dollari e mesi di recupero. Prendi il phishing sul serio - non è solo spam.

Perché ricevo così tante e-mail di phishing?

Gli indirizzi e-mail sono ampiamente disponibili attraverso: violazioni dei dati (la tua e-mail è stata rilasciata), registrazioni pubbliche (e-mail aziendali), elenchi acquistati (alcune aziende vendono dati dei clienti) e generazione casuale (i truffatori indovinano le e-mail comuni).

Devo fare clic su "disiscrizione" su e-mail sospetti?

No. Cliccando su annullare l'iscrizione conferma che la tua e-mail è attiva, spesso con conseguente MORE phishing. Invece: contrassegnare come phishing/spam nel tuo client di posta elettronica. Bloccare l'inviatore. Passare alla spazzatura senza aprire. Per le e-mail legittime ma indesiderate da aziende reali, annullare l'iscrizione è buono - per le e-mail sospette, mai.

Posso sapere chi ha inviato un'email di phishing?

A volte. gli intestazioni di posta elettronica contengono informazioni tecniche sull'origine. In Gmail: fare clic sui tre punti → 'Show original.' Gli intestazioni mostrano: l'indirizzo IP effettivo del mittente, il routing del server, i risultati di autenticazione. La maggior parte degli utenti casuali non decodificherà questo, ma può essere una preziosa prova per le segnalazioni di frodi.

Le e-mail di phishing sono sempre più difficili da individuare?

Sì. il phishing generato da AI è più lucido – migliore grammatica, più personalizzato, anche usando il tuo vero nome dalle violazioni. Difesa: verifica i domini del mittente con precisione, vaga sui link prima di cliccare, non inserisci mai informazioni dai link di posta elettronica. Apri le app ufficiali direttamente quando hai dubbi.

Che cos’è il smiling e il vishing?

Smishing = SMS phishing (fraude di messaggi di testo). Vishing = phishing vocale (fraude di telefonata). Stessa tattica come e-mail phishing, diversi canali. Comuni: "distribuzione del pacchetto fallita" testi, "allarme di frode" chiamate da "la tua banca". Stessa difesa: verificare contattando direttamente la società reale utilizzando i numeri ufficiali di telefono.

Devo installare un software antivirus?

Windows e macOS includono protezione gratuita integrata (Microsoft Defender, XProtect) che è generalmente sufficiente. Alternative gratuite che funzionano: Malwarebytes (scanner on-demand), Bitwarden (password manager), Nudge (URL trust scores).

Può la mia e-mail essere hackerata dall'apertura di una e-mail di phishing?

Basta aprire, nei moderni client di posta elettronica (Gmail, Outlook): molto basso rischio. Il pericolo è fare clic sui link o aprire gli allegati. I moderni browser e i client di posta elettronica bloccano la maggior parte delle minacce automatiche da aprire. ma: se si apre e risponde con le informazioni, o fare clic sui link, si può essere compromessi.

Cosa succede se non sono sicuro che un'email sia reale?

Non fare clic su nulla nell'e-mail. apri direttamente l'app o il sito web ufficiale (introduci tu stesso l'URL) e controlla il tuo account lì. Se c'è un vero problema, sarà visibile nell'app. Questa unica abitudine previene il 90% dei danni del phishing.

Nudge è utile contro le e-mail di phishing?

indirettamente. Nudge non scansiona le e-mail, ma nel momento in cui fai clic su un link da un'e-mail di phishing, Nudge identifica la destinazione come sospetta prima di inserire qualsiasi informazione. estensione Chrome gratuita, nessuna registrazione, nessuna raccolta dati.

Protezione in tempo reale durante la navigazione

Nudge ti mostra un punteggio di fiducia su ogni sito che visiti, automaticamente. non più ricordando ogni bandiera rossa. estensione gratuita di Chrome e Firefox - protezione che non dovrebbe essere dietro un paywall.

Libero per sempre

Nessun dato personale raccolto

Nessun account necessario

Non vendiamo mai i tuoi dati

Browsing stays sul tuo dispositivo

Corre silenziosamente in background

Aggiungi a Chrome - Gratuito