Come analizzare un sito truffa prima di essere vittima 

Nel panorama digitale italiano, le truffe online stanno diventando sempre più sofisticate. Non parliamo più solo di email mal scritte o link palesemente sospetti: oggi i criminali replicano siti ufficiali, clonano identità e sfruttano la reputazione di creator e aziende per colpire anche utenti esperti. Un caso recente che ha fatto discutere è quello dello youtuber Andrea Galeazzi, vittima di un tentativo di phishing tramite un link malevolo che imitava una comunicazione ufficiale. L’episodio è un ottimo punto di partenza per capire come analizzare un sito prima di aprirlo, usando strumenti semplici ma potentissimi come WHOIS.

Perché WHOIS è un’arma fondamentale contro le truffe?

WHOIS è un protocollo che permette di interrogare i registri dei domini Internet per ottenere informazioni come:

• Data di registrazione del dominio
• Proprietario (quando non oscurato)
• Registrar utilizzato
• Server DNS
• Eventuali modifiche recenti
• Paese di registrazione

In pratica, WHOIS ti dice chi c’è dietro un dominio e da quanto tempo esiste. E questo, quando si parla di phishing, è oro puro.

Esempio di come usare WHOIS:

Accedere al sito whois.domaintools.com inserire nel campo richiesto il sito che pensate sia truffa da li vedete i dati mostrati sopra:

Ipotizziamo di analizzare il dominio di google.com ecco il risultato:

Registrar	MarkMonitor, Inc. MarkMonitor Inc. IANA ID: 292 URL: http://www.markmonitor.com Whois Server: whois.markmonitor.com (p)
Registrar Status	clientDeleteProhibited, clientTransferProhibited, clientUpdateProhibited, serverDeleteProhibited, serverTransferProhibited, serverUpdateProhibited
Dates	7,666 days old Created on 2005-01-25 Expires on 2027-01-25 Updated on 2025-12-24
Name Servers	NS1.GOOGLE.COM (has 18,197 domains) NS2.GOOGLE.COM (has 18,197 domains) NS3.GOOGLE.COM (has 18,197 domains) NS4.GOOGLE.COM (has 18,197 domains)
IP Address	142.250.69.170 – 26 other sites hosted on this server
IP Location	– California – Mountain View – Google
ASN	AS15169 GOOGLE – Google LLC, US (registered Mar 30, 2000)
Domain Status	Registered And No Website
IP History	238 changes on 238 unique IP addresses over 21 years

Domain Name: googleapis.com
Registry Domain ID: 140496530_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.markmonitor.com
Registrar URL: http://www.markmonitor.com
Updated Date: 2025-12-24T10:28:54+0000
Creation Date: 2005-01-25T08:00:00+0000
Registrar Registration Expiration Date: 2027-01-25T00:00:00+0000
Registrar: MarkMonitor, Inc.
Registrar IANA ID: 292
Registrar Abuse Contact Email: 
Registrar Abuse Contact Phone: +1.2086851750
Domain Status: clientUpdateProhibited (https://www.icann.org/epp#clientUpdateProhibited)
Domain Status: clientTransferProhibited (https://www.icann.org/epp#clientTransferProhibited)
Domain Status: clientDeleteProhibited (https://www.icann.org/epp#clientDeleteProhibited)
Domain Status: serverUpdateProhibited (https://www.icann.org/epp#serverUpdateProhibited)
Domain Status: serverTransferProhibited (https://www.icann.org/epp#serverTransferProhibited)
Domain Status: serverDeleteProhibited (https://www.icann.org/epp#serverDeleteProhibited)
Registrant Organization: Google LLC
Registrant Country: US
Registrant Email: Select Request Email Form at 
https://domains.markmonitor.com/whois/googleapis.com
Tech Email: Select Request Email Form at https://domains.markmonitor.com/whois/googleapis.com
Name Server: ns3.google.com
Name Server: ns2.google.com
Name Server: ns1.google.com
Name Server: ns4.google.com
DNSSEC: unsigned
URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/

For more information on WHOIS status codes, please visit:
  https://www.icann.org/resources/pages/epp-status-codes

MarkMonitor Domain Management(TM)
Protecting companies and consumers in a digital world.

Visit MarkMonitor at https://www.markmonitor.com
Contact us at +1.8007459229
In Europe, at +44.02032062220

Questo WHOIS è l’identità ufficiale del dominio googleapis.com

Il testo che ho incollato è il WHOIS originale e autentico del dominio:

googleapis.com

Questo dominio è usato da Google per:

• API
• servizi cloud
• storage
• librerie JavaScript
• servizi interni

È un dominio di proprietà di Google LLC, registrato tramite MarkMonitor, che è il registrar usato da Google per tutti i suoi domini importanti.

Cosa significano i campi principali:

Registrar: MarkMonitor, Inc.

È il registrar ufficiale usato da Google. Quindi è un segno di autenticità.

Creation Date: 2005

Il dominio esiste da quasi 20 anni → impossibile che sia un dominio fake.

Expiration Date: 2027

Google lo ha rinnovato fino al 2027.

Domain Status: clientTransferProhibited, serverUpdateProhibited, ecc.

Questi stati indicano che:

• il dominio è protetto
• non può essere trasferito
• non può essere modificato
• non può essere cancellato

Sono misure di sicurezza tipiche dei domini di grandi aziende.

Registrant Organization: Google LLC

Il proprietario è Google.

Name Server: ns1.google.com, ns2.google.com, ecc.

I nameserver sono quelli ufficiali di Google.

ATTENZIONE ALLA TECNICA DI BYPASS DEI CERTIFICATI GOOGLE:

Di recente mi è arrivata una mail che diceva che Oral-B mi aveva riservato un (1) Kit Dentale Oral-B esclusivamente per me! Incuriosito, ho voluto provare ad analizzare il link inviato da Oral-B e il risultato del Whois risulta simile a quello autentico di Google.

Quindi, come possiamo accorgerci anche senza aprire il link se questo sito è una truffa? Ve lo spiego subito:

Il link porta a un file HTML caricato da un attaccante:

Questo significa:

• il file non è di Google
• è stato caricato da chiunque su Google Cloud Storage
• Google ospita il file, ma non lo controlla
• il bucket ha un nome casuale → tipico dei criminali

Quindi il file HTML può contenere qualsiasi cosa.

Il file HTML può eseguire codice malevolo nel browser

Un file HTML ospitato così può contenere:

• script JavaScript
• moduli di login falsi
• redirect automatici
• codice che raccoglie dati
• codice che scarica malware

È una tecnica molto comune nel phishing moderno.

Il token dopo il “#” serve a identificarti

La parte:

4gIRCk88356tiQI1209szjwaokwux231...

è un tracking token. Serve a:

• identificare la vittima
• capire se hai aperto il link
• personalizzare la pagina
• tracciare la campagna di phishing

È un segno chiarissimo di attacco mirato o semi-automatizzato.

Cosa può succedere se clicchiamo?

Ecco i comportamenti più comuni di link come questo:

Redirect verso un sito di phishing

Il file HTML può contenere un redirect immediato verso:

• una finta pagina Amazon
• una finta pagina Poste
• una finta pagina PayPal
• una finta pagina bancaria
• un finto tracking di spedizione
• un finto ordine Oral‑B (come nel testo della mail)

Molte campagne usano proprio Google Cloud Storage per “mascherare” il primo passaggio.

Pagina fake che chiede dati personali

Il file può mostrare una pagina che chiede:

• email
• password
• numero di carta
• indirizzo
• codice OTP

Installazione di malware

Il file può:

• scaricare un file .apk (Android)
• scaricare un .exe (Windows)
• aprire un PDF malevolo
• sfruttare vulnerabilità del browser

Truffa commerciale

Molti bucket Google vengono usati per:

• finti prodotti Oral‑B
• finti sconti
• finti concorsi
• finti pacchi da ritirare

Il testo “Oral‑B Dental Kit” nella mia mail è un classico esempio.

La mia fortuna aprendo il link:

Il mio antivirus gratuito ha segnalato il tentativo di apertura del link indicato sopra come sito di phishing. Di solito questi attacchi cercano di ingannare anche gli antivirus più comuni, quindi fate comunque molta attenzione.

In sintesi

Il link:

• è ospitato su Google Cloud ma non è di Google
• contiene un file HTML creato da un attaccante
• usa un token per tracciare la vittima
• probabilmente reindirizza a una pagina di phishing
• può chiedere dati o scaricare malware
• è parte di una truffa (Oral‑B è un’esca comune)

Come funziona una truffa moderna: il caso Galeazzi:

Nel caso raccontato da Andrea Galeazzi, lo youtuber ha spiegato di essere stato vittima di un link malevolo che imitava una comunicazione ufficiale. Un dettaglio importantissimo spesso ignorato: il suo account aveva già l’autenticazione a due fattori attiva.

Questo significa che:

• Non si è trattato di una “mancanza di sicurezza” da parte sua
• La 2FA non basta se l’utente viene indotto a consegnare le proprie credenziali tramite un sito clone
• L’attacco era basato su ingegneria sociale, non su una vulnerabilità tecnica

I criminali non hanno “bucato” la 2FA: hanno semplicemente convinto la vittima a inserirla nel loro sito, che poi l’ha inoltrata in tempo reale al servizio legittimo (tecnica nota come real‑time phishing o reverse proxy phishing).

Un controllo WHOIS di pochi secondi avrebbe mostrato:

• Dominio registrato da 1–3 giorni
• Registrar sconosciuto o low‑cost
• Proprietario oscurato
• Paese di registrazione anomalo
• DNS generici o sospetti

Tutti segnali che, messi insieme, gridano “truffa”.

Cosa avrebbe potuto fare prima di aprire il link?

Ecco la checklist che ogni utente – anche esperto – dovrebbe seguire prima di cliccare:

Copiare il link senza aprirlo

Su PC: tasto destro → copia indirizzo Su smartphone: pressione lunga → copia link

Mai aprire direttamente.

Incollarlo in un WHOIS affidabile

Esempi:

• whois.domaintools.com
• who.is

Controllare la data di registrazione

Se un dominio che imita un brand famoso è stato registrato ieri, è quasi certamente una truffa.

Verificare il registrar

I grandi brand usano registrar noti (MarkMonitor, CSC, Google Domains). I truffatori usano registrar economici e anonimi.

Analizzare i DNS

DNS strani, generici o non coerenti con il brand sono un red flag.

Cercare incongruenze nel nome del dominio

Esempi tipici:

• sostituzione di lettere (paypaI.com con la “i” maiuscola)
• aggiunta di parole (amazon‑support‑verify.com)
• domini di paesi improbabili (.ru, .tk, .cn)

Usare un sandbox o un URL scanner

Se vuoi essere ancora più prudente:

• VirusTotal
• URLScan.io

Questi strumenti analizzano il sito senza che tu lo apra.

Perché anche chi è smanettone o content creator digitale può cadere?

Le truffe moderne sfruttano:

• urgenza (“il tuo account verrà sospeso”)
• autorità (imitano brand o creator)
• realismo grafico (siti clonati pixel‑perfect)
• ingegneria sociale personalizzata

Non è questione di ingenuità: è questione di tempo. I criminali puntano proprio su quello.

WHOIS non è solo per tecnici, è per tutti

Analizzare un sito sospetto richiede meno di 30 secondi. E può letteralmente salvarti da:

• furto di identità
• perdita di account
• danni economici
• compromissione dei dispositivi

Il caso Galeazzi dimostra che nessuno è immune, ma anche che con gli strumenti giusti possiamo difenderci in modo efficace.

In breve: il WHOIS da solo non dà una certezza, ma aumenta sensibilmente la probabilità di capire se il link è sospetto, soprattutto prima di cliccare.

Probabilità realistica usando WHOIS

Se parliamo di un attacco come quello subito da Galeazzi:

• Dominio registrato da pochi giorni/settimane
  → Probabilità alta (≈60–80%) che sia phishing
  Questo è uno dei segnali più forti: moltissime campagne malevole usano domini “usa e getta”.
• Dominio registrato da anni, coerente con il brand
  → Probabilità bassa (≈10–20%) che sia phishing
  Ma non zero, perché:
  • possono usare domini compromessi
  • possono usare sottodomini di servizi legittimi
  • possono usare typosquatting molto sofisticato
• WHOIS offuscato + registrar sospetto + hosting estero anomalo
  → Probabilità medio-alta (≈50–70%)
  È un pattern molto comune nelle truffe mirate.

Limite fondamentale del WHOIS

Un attacco molto credibile può:

• usare un dominio vecchio ma compromesso
• usare servizi legittimi (Google Docs, Dropbox, Notion, ecc.)
• usare redirect multipli (il WHOIS sembra “pulito”, il contenuto no)

In questi casi il WHOIS non basta e può dare un falso senso di sicurezza.

Conclusione chiave

• WHOIS non dice “è sicuro”
• WHOIS dice “è coerente o no con quello che dichiara di essere”

Da solo:

• affidabilità ≈ 30–40%

Combinato con:

• VirusTotal
• URLScan
• verifica del mittente
• apertura in sandbox

affidabilità complessiva >80–90%

Ulteriori informazioni:

Il caso Galeazzi della truffa subita non chiarisce effettivamente come questa sia stata eseguita né se siano state aggirate anche specifiche verifiche, ed è citato solo come esempio per dimostrare che chiunque può cadere vittima dei cyber-criminali, poiché l’intelligenza artificiale può essere uno strumento etico e utile per chi ancora non sa difendersi nel mondo digitale, ma nelle mani di hacker black-hat diventa una vera e propria arma digitale.

Il controllo WHOIS non garantisce l’autenticità di un link, ma è un forte indicatore preliminare: se il dominio è recente o incoerente, la probabilità di phishing aumenta drasticamente, mentre un dominio credibile riduce il rischio senza però azzerarlo.