Callback Phishing in Italia: La Nuova Minaccia Senza Link

Un'Email Senza Link e Senza Allegati. Eppure e' un Attacco.

Immagina di ricevere un'email che dice: "Il tuo abbonamento a Microsoft 365 e' stato rinnovato per 499,99 euro. Se non hai autorizzato questo addebito, chiama il numero 02-XXXXXXX entro 24 ore per annullare."

Nessun link sospetto. Nessun allegato pericoloso. Solo un numero di telefono. Il tuo antispam la lascia passare, perche' non c'e' nulla da analizzare. E tu, preso dal panico per un addebito non autorizzato, chiami.

Benvenuto nel mondo del callback phishing, conosciuto anche come TOAD (Telephone-Oriented Attack Delivery). E' la minaccia email in piu' rapida crescita nel 2026, con un incremento del +625% rispetto al 2023 secondo i dati Proofpoint.

Come Funziona il Callback Phishing

L'attacco si svolge in due fasi:

Fase 1 — L'Email Esca

La vittima riceve un'email che sembra provenire da un servizio noto: Microsoft, Amazon, PayPal, la banca, l'operatore telefonico. L'email comunica un addebito, un rinnovo automatico, o un problema con l'account. Non contiene link cliccabili ne' allegati. Contiene solo un numero di telefono da chiamare "per assistenza".

Fase 2 — La Telefonata

Quando la vittima chiama, risponde un finto operatore del servizio clienti. Con tecniche di social engineering, l'operatore guida la vittima a:

• Installare un software di accesso remoto (AnyDesk, TeamViewer)
• Fornire credenziali di accesso
• Effettuare un bonifico "di rimborso" verso un conto controllato dall'attaccante
• Scaricare un file che installa un malware

Il passaggio dal canale email al canale telefonico e' la chiave del successo. Al telefono le persone abbassano le difese, si fidano della voce umana, e agiscono in fretta.

Perche' i Filtri Tradizionali Non Lo Bloccano

I filtri antispam tradizionali analizzano tre cose: mittente, link e allegati. Il callback phishing non ha ne' link ne' allegati. Il mittente puo' essere spoofato o provenire da un account compromesso legittimo.

Risultato: l'email sembra pulita. Non c'e' nulla da bloccare dal punto di vista tecnico tradizionale.

Ecco perche' il callback phishing e' cosi' efficace:

• Nessun URL malevolo da analizzare con sandbox
• Nessun allegato da scansionare
• Testo semplice che non attiva i pattern di phishing classici
• Urgenza emotiva che spinge all'azione immediata
• Canale vocale dove non esistono filtri automatici

Casi Italiani: Non e' un Problema Lontano

In Italia il callback phishing ha colpito duramente nel 2025-2026:

• Finte fatture Enel/ENI: email che comunicano bollette da 800+ euro con numero da chiamare per contestare. L'operatore guida all'installazione di AnyDesk e svuota il conto.
• Finto supporto Microsoft: email di rinnovo Office 365 a 499 euro. La vittima chiama e concede accesso remoto al PC aziendale.
• Finta banca: email che segnala un accesso sospetto al conto. Il numero porta a un call center truffaldino che chiede le credenziali di home banking.
• Finto corriere: email che comunica un pacco bloccato in dogana con spese di 89 euro. Il numero porta a una truffa con carta di credito.

Le PMI italiane sono bersagli privilegiati perche' spesso non hanno formazione anti-phishing e i dipendenti agiscono in autonomia.

La Connessione con il Vishing

Il callback phishing e' strettamente legato al vishing (voice phishing). La differenza e' sottile:

• Vishing: l'attaccante chiama la vittima
• Callback phishing: l'attaccante convince la vittima a chiamare

Il callback phishing e' piu' efficace perche' la vittima chiama volontariamente. Non ha il sospetto di una telefonata in arrivo da un numero sconosciuto — e' lei che ha composto il numero.

Come Difendersi: Tecnologia + Formazione

Difese Tecnologiche

I filtri di nuova generazione come MailSniper usano l'analisi semantica del testo per identificare le email di callback phishing anche senza link o allegati. L'intelligenza artificiale riconosce i pattern:

• Linguaggio di urgenza finanziaria
• Presenza di numeri di telefono nel corpo email
• Richieste di azione immediata
• Impersonificazione di brand noti
• Assenza sospetta di link (molte email legittime li contengono)

Questo approccio basato sul significato del messaggio, e non solo sugli elementi tecnici, permette di intercettare minacce che i filtri tradizionali ignorano.

Formazione del Personale

La tecnologia da sola non basta. I tuoi dipendenti devono sapere:

1. Mai chiamare numeri contenuti in email non attese — cerca sempre il numero ufficiale sul sito del servizio
2. Nessun servizio legittimo chiede di installare software di accesso remoto per un rimborso
3. L'urgenza e' sempre un campanello d'allarme — i servizi reali danno tempo per agire
4. Verificare sempre l'addebito dal proprio conto o dal pannello del servizio, non dall'email
5. Segnalare al reparto IT qualsiasi email sospetta, anche se sembra innocua

I Numeri del Callback Phishing nel 2026

• +625% di crescita dal 2023 (Proofpoint)
• 13% di tutti gli attacchi di phishing usano la tecnica callback (Agari)
• $50.000 il danno medio per incidente nelle PMI europee
• 78% delle vittime ammette di aver chiamato perche' "l'email sembrava normale"
• Il settore finanziario e le PMI sono i bersagli principali in Italia

Cosa Fare Se Hai Gia' Chiamato

Se hai chiamato un numero sospetto e hai seguito le istruzioni:

1. Disconnetti il PC da internet immediatamente
2. Cambia tutte le password da un dispositivo diverso
3. Contatta la tua banca se hai fornito dati finanziari
4. Avvisa il reparto IT della tua azienda
5. Fai una scansione antimalware completa
6. Denuncia alla Polizia Postale

Il callback phishing e' una minaccia reale che sfrutta la fiducia umana piu' che la tecnologia. Per proteggere la tua azienda servono filtri intelligenti come MailSniper che analizzano il significato delle email, e una formazione continua del personale. La combinazione di entrambi e' la difesa piu' efficace.