Negli ultimi giorni sta circolando una campagna di phishing particolarmente aggressiva che prende di mira i titolari di domini web italiani. La mail arriva con oggetto “DELETE Notice: [TUODOMINIO.COM]” e tenta di convincerti che il tuo dominio è in scadenza imminente e il tuo account è stato sospeso. In realtà si tratta di un tentativo di truffa: il mittente non ha alcun rapporto con il tuo provider reale.
Com’è fatta la mail truffa
L’email presenta queste caratteristiche tipiche:
- Mittente falso: l’indirizzo del mittente appare come
administrator@renewalprotectexpired.com— un dominio che non ha nulla a che fare con il tuo registrar ufficiale - Oggetto allarmante: “DELETE Notice: TUODOMINIO.COM” per creare panico immediato
- Data di scadenza inventata: indica una data di scadenza (es. 24 May 2026) che può coincidere approssimativamente con quella reale del tuo dominio, per sembrare credibile
- Numero fattura farlocco: un codice alfanumerico lungo (es.
21b2e01be2df4476870f592ce81c7967) per sembrare una comunicazione amministrativa legittima - Pulsante “Renew [DOMINIO]”: il link di rinnovo punta a
renewport.my, un sito completamente estraneo al tuo provider - Legal Disclaimer intimidatorio: un paragrafo minaccioso che elenca possibili danni (perdita di email, perdita di posizione nei motori di ricerca, perdita di file) per spingere ad agire d’impulso
Perché è una truffa (e non una comunicazione legittima)
Ci sono almeno tre segnali inequivocabili che smascherano questa mail come phishing:
- Il mittente non è il tuo registrar. Se il tuo dominio è registrato su Aruba, Register.it, GoDaddy o qualsiasi altro provider, solo quel provider ti contatterà per il rinnovo — e lo farà dal proprio dominio ufficiale, non da
renewalprotectexpired.com. - Il link di pagamento punta a un sito sconosciuto. Il bottone “Renew” reindirizza a
https://renewport.my/invoice/...— un dominio .my (Malaysia) privo di qualsiasi relazione con i servizi di registrazione domini italiani o europei. - Il tuo dominio è gestito altrove. Se sai che il tuo dominio è registrato su un provider specifico e la mail viene da qualcun altro, quella mail non ha alcuna autorità sul tuo dominio. Chiunque può inviarti una mail con scritto “il tuo dominio scade”: questo non significa che abbiano il controllo sul tuo dominio.
Cosa vuole davvero questa truffa
L’obiettivo dei truffatori è duplice: da un lato sottrarre i dati della tua carta di credito attraverso una falsa pagina di pagamento; dall’altro ottenere potenzialmente le tue credenziali di accesso al pannello di gestione del dominio. In alcuni casi più elaborati, il pagamento effettuato viene usato per “trasferire” il dominio verso registrar compiacenti, perdendone il controllo.
Cosa fare e cosa NON fare
| ✅ FARE | ❌ NON FARE |
|---|---|
| Accedere direttamente al pannello del tuo provider ufficiale per verificare lo stato del dominio | Cliccare sul pulsante “Renew” o su qualsiasi link presente nella mail |
| Verificare la data di scadenza reale del dominio sul sito del tuo registrar | Inserire i dati della carta di credito nelle pagine a cui rimanda la mail |
| Segnalare la mail come spam/phishing nel tuo client di posta | Rispondere alla mail o contattare il mittente |
| Segnalare il tentativo all’Ufficio IT aziendale se ricevuta su una casella di lavoro | Credere al “Legal Disclaimer”: non hanno alcun potere legale sul tuo dominio |
| Controllare il WHOIS del dominio mittente per capire l’origine della truffa | Inoltrare la mail a colleghi senza prima avvisare che si tratta di phishing |
Ho già cliccato o inserito i dati: cosa fare adesso
Se hai già interagito con la mail, agisci immediatamente:
- Blocca la carta di credito contattando la tua banca o tramite l’app. Richiedi un blocco preventivo e segnala la transazione come potenzialmente fraudolenta.
- Cambia la password del tuo pannello di controllo hosting/dominio immediatamente.
- Abilita l’autenticazione a due fattori (2FA) sul tuo account registrar se non l’hai già fatto.
- Contatta il tuo provider reale per verificare che nessuna modifica sia stata apportata ai dati del dominio (DNS, contatto registrante, authorisation code).
- Sporgi denuncia alla Polizia Postale tramite il portale commissariatodips.it.