{"id":1120,"date":"2026-05-25T21:29:37","date_gmt":"2026-05-25T19:29:37","guid":{"rendered":"https:\/\/www.docsnet.it\/?p=1120"},"modified":"2026-05-25T21:29:46","modified_gmt":"2026-05-25T19:29:46","slug":"attacco-phishing-falsa-richiesta-di-conferma-dati-da-klarna","status":"publish","type":"post","link":"https:\/\/www.docsnet.it\/index.php\/attacco-phishing-falsa-richiesta-di-conferma-dati-da-klarna\/","title":{"rendered":"Attacco Phishing: falsa richiesta di conferma dati da “Klarna”"},"content":{"rendered":"\n
\"\"<\/figure>\n\n\n\n

\u00c8 in circolazione una email fraudolenta che impersona il servizio finanziario Klarna. Il messaggio chiede al destinatario di “confermare” le proprie informazioni di contatto (email e numero di telefono) tramite un pulsante rosa. Si tratta di una truffa costruita con cura, che sfrutta sia un dominio email compromesso sia la piattaforma Microsoft Sway per rendere il messaggio pi\u00f9 credibile. L’obiettivo \u00e8 sottrarre dati personali e credenziali di accesso.<\/p>\n\n\n\n

1. Analisi tecnica: mittente e infrastruttura dell’attacco<\/strong><\/h2>\n\n\n\n

Esaminiamo nel dettaglio gli elementi tecnici dell’email ricevuta:<\/p>\n\n\n\n

Campo<\/strong><\/td>Valore rilevato<\/strong><\/td>Analisi<\/strong><\/td><\/tr>
Nome visualizzato<\/td>Klarna<\/td>Falsificabile da chiunque \u2014 nessun valore probatorio<\/td><\/tr>
Dominio reale mittente<\/td>skargardsstiftelsen.ypbutiken.se<\/td>Dominio svedese estraneo a Klarna \u2014 account compromesso o abusato<\/td><\/tr>
Dominio atteso (legittimo)<\/td>klarna.com<\/td>Le email reali Klarna arrivano solo da @klarna.com<\/td><\/tr>
Piattaforma grafica<\/td>Microsoft Sway<\/td>Sway \u00e8 uno strumento Office usato dai truffatori per ospitare pagine clone gratuitamente<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Il dettaglio di Microsoft Sway merita attenzione particolare: i criminali utilizzano sempre pi\u00f9 spesso piattaforme legittime (Microsoft Sway, Google Sites, Notion, Canva) per ospitare le pagine di phishing. Questo permette di aggirare i filtri antispam, che tendono a fidarsi dei domini Microsoft o Google, e di non dover registrare un dominio falso.<\/p>\n\n\n\n

2. Tecniche di manipolazione psicologica<\/strong><\/h2>\n\n\n\n

Questa email utilizza diverse leve classiche dell’ingegneria sociale:<\/p>\n\n\n\n

    \n
  • Urgenza implicita: “\u00e8 attualmente in attesa di conferma” \u2014 suggerisce che qualcosa \u00e8 gi\u00e0 in corso e che l’utente deve agire subito<\/li>\n\n\n\n
  • Tono neutro e professionale: il testo \u00e8 grammaticalmente corretto e non contiene errori grossolani, a differenza dei phishing di bassa qualit\u00e0<\/li>\n\n\n\n
  • Grafica identica al brand: colori rosa Klarna, font, layout \u2014 tutto riprodotto fedelmente per abbassare le difese<\/li>\n\n\n\n
  • Falsa urgenza mascherata da cortesia: “La tua collaborazione \u00e8 importante” \u2014 suona come una richiesta ragionevole, non come un allarme<\/li>\n\n\n\n
  • Footer con indirizzo reale: “Sveav\u00e4gen 46, 111 34 Stockholm” \u2014 indirizzo reale di Klarna copiato per dare credibilit\u00e0<\/li>\n\n\n\n
  • Nota “Hai ricevuto questa email perch\u00e9 \u00e8 necessaria un’azione richiesta” \u2014 mimicry di comunicazioni transazionali legittime<\/li>\n<\/ul>\n\n\n\n

    3. Il ruolo di Microsoft Sway in questo attacco<\/strong><\/h2>\n\n\n\n

    Microsoft Sway \u00e8 un’applicazione inclusa in Microsoft 365 che consente di creare presentazioni e pagine web. I truffatori la scelgono per tre motivi principali:<\/p>\n\n\n\n

      \n
    • Le email che contengono link a sway.office.com vengono spesso considerate sicure dai filtri antispam aziendali<\/li>\n\n\n\n
    • Non \u00e8 necessario registrare un dominio falso: basta creare un account Microsoft gratuito<\/li>\n\n\n\n
    • La pagina pu\u00f2 essere resa visivamente indistinguibile da un sito ufficiale<\/li>\n<\/ul>\n\n\n\n

      Se il pulsante “Conferma adesso” porta a una pagina su sway.office.com o simili: non inserire mai nessun dato, indipendentemente da quanto sembri autentica.<\/p>\n\n\n\n

      4. Cosa fare<\/strong><\/h2>\n\n\n\n
      \u2714 FARE<\/strong><\/td>\u2718 NON FARE<\/strong><\/td><\/tr>
      Controlla sempre il dominio reale del mittente nella barra degli indirizzi del client email<\/td>Non cliccare su “Conferma adesso” o qualsiasi altro link nell’email<\/td><\/tr>
      Accedi al tuo account Klarna digitando direttamente klarna.com nel browser<\/td>Non inserire email, numero di telefono o password su pagine raggiunte da link sospetti<\/td><\/tr>
      Segnala l’email come phishing\/spam nel tuo client (Thunderbird, Outlook, ecc.)<\/td>Non fidarti del nome visualizzato “Klarna”: verifica sempre il dominio dopo la @<\/td><\/tr>
      Se hai gi\u00e0 cliccato e inserito dati, cambia subito la password Klarna e contatta il loro supporto ufficiale<\/td>Non considerare affidabile una pagina solo perch\u00e9 \u00e8 ospitata su sway.office.com o Google Sites<\/td><\/tr>
      Avvisa il reparto IT se ricevi questa email sulla casella aziendale<\/td>Non ignorare l’avviso di Thunderbird che ha bloccato i contenuti remoti: \u00e8 un segnale di allarme<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

      Nota: Thunderbird, il client di posta utilizzato in questo caso, ha correttamente bloccato i contenuti remoti del messaggio e mostrato un avviso giallo. Questo comportamento \u00e8 una funzione di protezione della privacy: non disabilitarlo mai. Il blocco delle immagini remote impedisce ai truffatori di sapere se l’email \u00e8 stata aperta (tracking pixel).<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"

      \u00c8 in circolazione una email fraudolenta che impersona il servizio finanziario Klarna. Il messaggio chiede al destinatario di “confermare” le proprie informazioni di contatto (email e numero di telefono) tramite …<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[180,147,223,241,126,11,16,10],"tags":[302,87,13,65,14,66],"class_list":["post-1120","post","type-post","status-publish","format-standard","hentry","category-account-hacking","category-fake-subscription","category-klarna","category-recupero-dati","category-sistemi-di-pagamento","category-sistemistica","category-tentativo-truffa","category-virustrojanecc","tag-klarna","tag-password","tag-phishing","tag-spam","tag-tentativo-frode","tag-truffa"],"_links":{"self":[{"href":"https:\/\/www.docsnet.it\/index.php\/wp-json\/wp\/v2\/posts\/1120","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.docsnet.it\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.docsnet.it\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.docsnet.it\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.docsnet.it\/index.php\/wp-json\/wp\/v2\/comments?post=1120"}],"version-history":[{"count":1,"href":"https:\/\/www.docsnet.it\/index.php\/wp-json\/wp\/v2\/posts\/1120\/revisions"}],"predecessor-version":[{"id":1122,"href":"https:\/\/www.docsnet.it\/index.php\/wp-json\/wp\/v2\/posts\/1120\/revisions\/1122"}],"wp:attachment":[{"href":"https:\/\/www.docsnet.it\/index.php\/wp-json\/wp\/v2\/media?parent=1120"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.docsnet.it\/index.php\/wp-json\/wp\/v2\/categories?post=1120"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.docsnet.it\/index.php\/wp-json\/wp\/v2\/tags?post=1120"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}