Gli attacchi di phishing sono una minaccia molto diffusa nel panorama digitale di oggi. Gli truffatori online spesso si spacciano per brand affidabili come ActiveCampaign per cercare di farti rivelare le tue credenziali di accesso o altre informazioni sensibili.

Questo articolo vuole aiutarti a proteggere il tuo account ActiveCampaign, imparando a riconoscere gli attacchi di phishing con esempi reali di truffe che si spacciano per ActiveCampaign.

Campanelli d’allarme: come riconoscere i tentativi di phishing

Usa questa checklist ogni volta che ricevi un’email sul tuo account ActiveCampaign (o su qualsiasi altro servizio online).

1. L’indirizzo del mittente non corrisponde

Le email legittime di ActiveCampaign arrivano sempre da indirizzi @activecampaign.com.

In una truffa, l’indirizzo del mittente era:

• support@activecampalgns.com (nota il piccolo errore di ortografia: è un chiaro segnale che non arriva da noi)

Cosa controllare:

• Controlla l’indirizzo email completo, non solo il nome visualizzato. I truffatori possono far apparire il nome visualizzato come “ActiveCampaign”, usando però un dominio completamente diverso
• Fai attenzione ai domini che aggiungono parole, lettere o codici paese strani in più

2. Falsa urgenza e minacce

I truffatori spesso cercano di creare panico così reagisci in fretta, senza pensare. Potrebbero dire cose tipo:

• "Devi accedere entro 48 ore per evitare la disattivazione"
• "Il tuo account verrà limitato se non lo verifichi subito"

Anche se ActiveCampaign può occasionalmente inviare comunicazioni urgenti, non minacceremo mai la sospensione immediata dell'account senza averti prima avvisato tramite i nostri canali di comunicazione ufficiali.

3. Saluti generici o incoerenti

Le email di phishing usano spesso saluti generici e impersonali, tipo "Ciao" o "Gentile utente", e possono anche non citare affatto il tuo nome o il tuo account.

Le comunicazioni legittime da parte di ActiveCampaign di solito:

• Rivolgersi a te per nome oppure
• Fai riferimento a informazioni specifiche dell’account, come la tua organizzazione o il tuo piano

4. Link e pulsanti sospetti

Le email di phishing cercano quasi sempre di farti cliccare su un link o un pulsante che porta a una finta pagina di accesso pensata per rubarti le credenziali.

Cosa fare prima di cliccare qualsiasi cosa:

• Passa il mouse sui link e sui pulsanti per vedere l’URL effettivo. Se usi il cellulare, tieni premuto un link per controllare l’URL prima di toccarlo
• Verifica che il link punti a activecampaign.com (e non a un dominio scritto male o che gli somiglia)
• Fai attenzione agli URL accorciati o ai domini che non riconosci

Se qualcosa ti sembra strano, non cliccare.

5. Richieste di password o informazioni sensibili

ActiveCampaign non ti chiederà mai la password via email, nemmeno in un contesto di supporto.

Considera come altamente sospetta qualsiasi email che:

• Ti chiede la password o il codice MFA
• Ti chiede di "verificare" il tuo account rispondendo con informazioni sensibili

Un esempio

A prima vista, questa email sembra legittima — ma ci sono diversi campanelli d’allarme che ne rivelano la vera natura.

• ActiveCampaign è sillabato con trattini e la sillabazione non è coerente
• C’è un tono di urgenza: "...l’abbonamento sta per scadere."
• Quando passi il mouse sul pulsante, è probabile che l’URL punti a un dominio scritto male

Cosa non farà mai ActiveCampaign

Capire quali sono le nostre pratiche legittime rende molto più facile riconoscere i falsi. ActiveCampaign non farà mai le seguenti cose:

• Minacciano di disattivare il tuo account senza prima averti contattato tramite i canali ufficiali
• Invia notifiche critiche di sicurezza dell’account da domini non ActiveCampaign
• Chiederti di cliccare su un link in un’email non richiesta per “verificare” o “mettere in sicurezza” il tuo account
• Chiederti la password o altre credenziali di accesso via email

Se noti uno di questi comportamenti, dai per scontato che il messaggio non venga da noi.

Cosa fare se ricevi un'email sospetta

Non interagire con l'email fraudolenta. Non cliccare sui link, non scaricare gli allegati e non rispondere.

Verifica in modo indipendente.

1. Apri una nuova scheda del browser e digita activecampaign.com direttamente nella barra degli indirizzi.
2. Accedi al tuo account da lì—mai da un link sospetto in un'email.
3. Controlla il dashboard in-app per eventuali avvisi o azioni richieste. Se è legittimo, lo vedrai lì.

Segnalalo ad ActiveCampaign. Inoltra l'email sospetta a help@activecampaign.com così il nostro team può indagare e, se necessario, avvisare gli altri clienti.

Elimina l'email. Dopo averla segnalata, eliminala dalla posta in arrivo (e da cestino/spam se necessario).

Se hai inserito le credenziali e temi che il tuo account possa essere stato compromesso, segui i passaggi qui sotto e/o segnala a abuse@activecampaign.com.

1. Reimposta l'accesso al tuo account.
2. Ruota le chiavi API.
3. Verifica accessi/sessioni attive.
4. Assicurati che MFA sia abilitata

Se hai riutilizzato quelle credenziali anche altrove, ruotale anche lì, in linea con le best practice di sicurezza.

Queste abitudini proteggono non solo il tuo account ActiveCampaign, ma anche la tua identità digitale in generale.

Altre best practice per combattere il phishing

Oltre a individuare e segnalare le email sospette, seguire queste buone pratiche nella vita di tutti i giorni ti aiuta a ridurre il rischio:

• Attiva l’autenticazione a più fattori (MFA) sul tuo account ActiveCampaign e sugli altri servizi critici, usando quando possibile un’app di autenticazione. Ti consigliamo vivamente di attivare l’MFA per tutti gli utenti del tuo account. Ecco come fare
• Usa password sicure e uniche per il tuo accesso a ActiveCampaign e non riutilizzare mai le stesse password su servizi diversi
• Tieni sempre il browser e il sistema operativo aggiornati per usufruire delle ultime protezioni di sicurezza
• Forma il tuo team—condividi questa guida con i colleghi e includi la sensibilizzazione sul phishing nel tuo onboarding e nella formazione continua
• Usa gli strumenti di segnalazione spam/phishing del tuo client email per bloccare messaggi simili in futuro
• Usa un password manager per salvare e compilare automaticamente le credenziali di accesso. A differenza delle persone, i password manager non compilano in automatico i campi su domini che sembrano uguali — rendendoli una difesa passiva molto efficace contro i siti di phishing

Come ActiveCampaign comunica i veri aggiornamenti sulla sicurezza

Quando ActiveCampaign deve condividere informazioni di sicurezza importanti o richiedere azioni sull’account, utilizziamo canali affidabili e una comunicazione trasparente.

Puoi aspettarti:

• Notifiche nella tua dashboard di ActiveCampaign dopo che accedi direttamente su https://activecampaign.com
• Email inviate solo da indirizzi verificati @activecampaign.com
• Tempistiche ragionevoli per le azioni richieste
• Spiegazioni chiare e dettagliate sul motivo per cui chiediamo l’azione

Per qualsiasi aggiornamento di sicurezza urgente o critico, potrai sempre trovare le relative informazioni direttamente nel tuo account, non solo nella posta in arrivo.

Resta vigile, resta protetto

Il phishing via email è ancora uno degli strumenti più usati dai criminali informatici, ma con le abitudini giuste puoi ridurre in modo significativo il rischio.

• Se hai dei dubbi su un’email, vai direttamente alla fonte accedendo ad ActiveCampaign dal tuo browser invece di cliccare sui link nell’email
• Se la richiesta è legittima, la vedrai nel dashboard del tuo account
• Se hai ancora dei dubbi, contatta il nostro team dalla tua dashboard di ActiveCampaign—siamo qui per aiutarti a verificare qualsiasi comunicazione che ricevi

Per saperne di più su come proteggiamo i tuoi dati, visita activecampaign.com/security.