Truffe, informazioni sulle minacce

Le e-mail fasulle relative al rinnovo dei domini inducono i proprietari di siti web a versare denaro ai truffatori

di Stefan Dasic | 25 giugno 2026
Ingegneria sociale
Aggiungi come fonte preferita su Google

Ricevi un’e-mail che ti avverte che il nome di dominio del tuo sito web sta per scadere. “Rinnova ora”, recita il messaggio, “altrimenti il tuo sito web e la tua posta elettronica potrebbero smettere di funzionare”. Il link apre una pagina dall’aspetto professionale che conosce già il tuo nome di dominio, mostra il tuo registrar e la data di scadenza e avvia un conto alla rovescia.

Sembra urgente e personale, quindi sembra reale.

Il sito, denominato Renovarix, non si occupa del rinnovo dei domini. Piuttosto, indirizza i visitatori attraverso una serie di pagine che raccolgono informazioni personali e, infine, i dati di pagamento.

Rinnovo falso del dominio

Come funziona la truffa

I nomi di dominio scadono davvero, e perderne uno può rappresentare un grave problema. Per molte persone e aziende, un dominio è molto più di un semplice indirizzo web. È il tuo marchio, la tua email, il tuo posizionamento nei motori di ricerca e il nome che i clienti digitano quando vogliono trovarti. Se scade, il tuo sito web e la tua email potrebbero smettere di funzionare. Se qualcun altro lo registra prima che tu riesca a riottenerlo, recuperarlo può essere difficile o impossibile. È una perdita enorme, e i truffatori lo sanno bene.

Questa truffa sfrutta proprio quella paura con una procedura di rinnovo fasulla ma molto convincente.

L'e-mail e il sito web sono falsi. I “dati del registro in tempo reale” sono reali solo in parte. Cliccando su “Rinnova ora” non si rinnova il dominio. Si viene invece reindirizzati attraverso una serie di siti web che, in primo luogo, raccolgono nome, indirizzo, numero di telefono e indirizzo e-mail dell'utente, per poi richiedere, alla fine, i dati di pagamento.

Se hai cancellato l'e-mail, non c'è nulla di cui preoccuparsi. Se hai cliccato sul link, chiudi semplicemente la pagina. Se hai inserito dati personali o informazioni di pagamento, segui le istruzioni riportate sopra.

L'e-mail che dà il via a tutto

La truffa ha inizio con un’e-mail, anche se la forma in cui si presenta varia. Alcune sono piuttosto rozze: un semplice “Promemoria di rinnovo del dominio” inviato da una società generica denominata “Domain Services Inc.”, con un numero di fattura e un importo da pagare.

E-mail di rinnovo fasulla

Altri sono molto più curati, con il marchio Renovarix, un numero di riferimento e un indirizzo commerciale londinese dall’aspetto rispettabile.

E-mail di rinnovo fasulla

Ma hanno tutti lo stesso indizio rivelatore. L’avviso “ufficiale” di rinnovo di Renovarix è stato inviato da un normale indirizzo Gmail. È improbabile che un’azienda che dichiara di avere una sede a Londra e un’assistenza disponibile 24 ore su 24, 7 giorni su 7, invii avvisi di fatturazione tramite Gmail. Quando l’immagine aziendale appare professionale ma il mittente non è coerente, si tratta di un importante campanello d’allarme.

Una pagina che sa troppo

Il link apre una pagina che esegue immediatamente una “ricerca”, descrivendone lo stato di avanzamento con messaggi quali “connessione al registro” e “recupero dei record WHOIS”, prima di visualizzare il nome di dominio, il registrar e la data di scadenza.

Rinnovo falso del dominio

Questo fa sembrare che il sito abbia effettuato una richiesta al registro ufficiale dei domini. Alcune delle informazioni potrebbero provenire da registri pubblici autentici, ma gran parte di ciò che conferisce alla pagina un’aria di autorevolezza è inventato. Ad esempio, il “Registry ID” visualizzato non viene recuperato da alcun registro. Viene generato localmente nel browser dell’utente a partire dal nome di dominio ed esiste esclusivamente per sembrare ufficiale.

Tutto è studiato per farti andare nel panico

Una volta caricata quella dashboard, l'intera pagina si trasforma in un imbuto progettato per spingere l'utente all'azione.

Un banner rosso afferma che il tuo dominio scadrà tra “03 giorni”, indipendentemente dalla sua effettiva data di scadenza. Un secondo conto alla rovescia indica che un “prezzo speciale” di 2,00 €, in offerta da 9,99 €, scadrà tra quindici minuti. Se provi a chiudere la pagina, compare un pop-up con l’avviso: “Aspetta — Il tuo dominio è a rischio!”, con un pulsante per chiudere la finestra che recita: “No, grazie, correrò il rischio”.

Falsa urgenza di rinnovo

I registrar affidabili non ricorrono a contatori alla rovescia né a pop-up che inducono un senso di colpa. È proprio questa pressione a rivelare la truffa.

Il “rinnovamento” non rinnova nulla

Ecco il segnale più evidente che qualcosa non va: cliccando su “Rinnova ora” non viene inviato alcun richiesta al proprio registrar né viene elaborato il rinnovo. Si verifica semplicemente un reindirizzamento del browser verso un altro sito web.

Alcune versioni mostrano addirittura un allegro messaggio di conferma del tipo “Rinnovo completato!”, con una nuova data di scadenza, un numero di conferma e un messaggio che indica che la ricevuta è stata inviata via e-mail. Nulla di tutto ciò riflette una transazione reale. Tutto viene generato dal browser.

Dove finiscono effettivamente i tuoi dati

Il pulsante ti reindirizza, tramite un link di affiliazione, a una pagina denominata “Secure Checkout”.

Procedi al checkout per raccogliere i dati

La pagina richiede il tuo nome, indirizzo, codice postale, città, numero di telefono e indirizzo e-mail. Una volta inviati i dati, verrai reindirizzato a ulteriori pagine in cui ti verrà infine richiesto di effettuare il pagamento.

Procedi al checkout per raccogliere i dati

Due dettagli suggeriscono che si tratti di un kit di truffa riutilizzato piuttosto che di un vero e proprio servizio di gestione domini. È in grado di inserire automaticamente i tuoi dati dal link su cui hai cliccato, e le sue false recensioni a cinque stelle fanno ancora riferimento a “HappyPrizes” e a quanto sia stato facile “vincere qualcosa di carino”: si tratta di testo residuo proveniente da una precedente truffa a premi che utilizzava lo stesso modello.

Perché le persone ci cascano

La truffa funziona perché sfrutta una preoccupazione reale. La truffa parte da una premessa credibile. Il rinnovo dei domini è una pratica normale nella gestione di un sito web, quindi un avviso di scadenza non sembra fuori luogo. I truffatori sfruttano questa situazione ricorrendo a un’immagine coordinata convincente, a informazioni di dominio pubblico e a un senso di urgenza creato ad arte.

Sembra anche una questione personale. Molte persone si chiedono come i truffatori facessero a conoscere proprio il loro dominio specifico. La risposta è che non ti conoscono personalmente. Ogni dominio registrato compare nei registri pubblici WHOIS/RDAP, che includono il nome del dominio, il registrar, le date importanti e, a volte, un indirizzo e-mail di contatto. I truffatori raccolgono queste informazioni in blocco, quindi generano link che mostrano proprio i dettagli del tuo dominio. Vedere informazioni familiari fa sembrare la pagina legittima, anche se proviene da registri pubblici.

Infine, la truffa crea un senso di urgenza. I contatori alla rovescia , gli avvisi che indicano che il tuo dominio è a rischio e un’“offerta speciale” da 2,00 € sono tutti elementi pensati per spingerti ad agire prima che tu abbia il tempo di verificare la veridicità di quanto affermato. L’obiettivo non è il prezzo basso, ma i tuoi dati personali e le tue informazioni di pagamento.

Nulla di tutto ciò rende una vittima imprudente. La rende semplicemente umana, presa di mira da persone che sanno bene come reagisce un proprietario di sito preoccupato.

Cosa fare

Se ricevi un'e-mail come questa, cancellala e basta. Il modo più sicuro per gestire il rinnovo di qualsiasi dominio è semplice:

  • Non cliccare sul link contenuto nell’e-mail. Accedi al sito del tuo registrar utilizzando i tuoi segnalibri o digitando direttamente l’indirizzo e verifica lì la data di scadenza effettiva. Se hai cliccato sul link, chiudi la pagina. Il semplice fatto di visualizzarla non mette a rischio il tuo dominio.
  • Scopri chi è il tuo registrar. Il rinnovo avviene tramite l’account che già possiedi, non su un sito web di cui non hai mai sentito parlare.
  • Considera l’urgenza come un segnale d’allarme, non come un motivo per affrettarsi. I veri rinnovamenti non sono emergenze da quindici minuti.
  • Controlla il mittente. Le comunicazioni relative alla fatturazione provenienti da un indirizzo Gmail o da un nome commerciale che non corrisponde al tuo effettivo fornitore sono segnali di allarme.
  • Malwarebytes Browser Guard è gratuito e può aiutarti a bloccare le pagine truffaldine e di phishing mentre navighi.

Se hai già inserito dati personali (come nome, indirizzo, numero di telefono o indirizzo e-mail):

  • Preparati a eventuali tentativi di truffa successivi. Gli autori degli attacchi potrebbero contattarti per telefono o via e-mail, spacciandosi per il tuo registrar o facendo riferimento al tuo dominio, a un “ordine” o a un “rinnovo”.
  • Non fidarti delle chiamate o delle e-mail non richieste, anche se sembrano conoscere dettagli sul tuo dominio.
  • Se devi contattare il tuo registrar o la tua banca, utilizza i recapiti riportati sul loro sito web ufficiale, non quelli indicati nell'e-mail o sulla pagina della truffa.

Se hai inserito i dati della carta di pagamento:

Attiva gli avvisi sulle transazioni in modo da ricevere una notifica non appena la tua carta viene utilizzata.

Contatta immediatamente la tua banca o l'emittente della carta. Spiega loro che hai inserito i dati della tua carta su un sito web fraudolento e chiedi se ti consigliano di bloccare e sostituire la carta, anche se al momento non hai ancora riscontrato addebiti non autorizzati.

Tieni sotto stretta sorveglianza il tuo conto. A volte i truffatori effettuano piccoli addebiti “di prova” prima di tentare transazioni di importo maggiore.

Indicatori di compromissione

  • renovarix[.]org — pagina fasulla di rinnovo del dominio
  • xe54ghj[.]com — reindirizzatore
  • paysuccessful[.]site — pagina di raccolta dei dati personali
  • molipy8trk[.]com — reindirizzatore
  • topprogressstores[.]online — Pagina di destinazione dell'offerta finale

Non ci limitiamo a segnalare le minacce, ma le eliminiamo.

I rischi per la sicurezza informatica non dovrebbero mai diffondersi al di là di un titolo di giornale. Tenete le minacce lontane dai vostri dispositivi scaricando Malwarebytes oggi stesso.

Informazioni sull'autore

Stefan Dasic

Stefan Dasic

Appassionato di soluzioni antivirus, Stefan si è occupato di test di malware e di QA di prodotti AV fin da giovane. Come parte del team di Malwarebytes , Stefan si dedica alla protezione dei clienti e alla loro sicurezza.

ULTIMI ARTICOLI

Insetti
PixelSmash

La vulnerabilità PixelSmash trasforma i file video in strumenti di attacco

Giugno 24, 2026

I ricercatori hanno individuato una vulnerabilità critica in FFmpeg che potrebbe consentire agli hacker di utilizzare un file video dannoso per compromettere i sistemi vulnerabili.

Prodotto
Un lupo travestito da agnello

Attenzione alle truffe sui rinnovi che si spacciano per Malwarebytes

Giugno 24, 2026

I truffatori stanno inviando false notifiche di rinnovo del software in cui si sostiene che ti sia stato addebitato il costo di un abbonamento. Alcuni si spacciano addirittura per Malwarebytes.

Truffe
Un giovane si è seduto con la testa in una mano e il telefono nell'altra.

Total a tutti i tuoi dispositivi.” I truffatori specializzati in sextortion colpiscono ancora

Giugno 24, 2026

Dicono di avere video, malware e il controllo totale dei tuoi dispositivi. Ecco come leggere un’e-mail di sextortion con l’occhio di un ricercatore di sicurezza anziché con quello di una vittima.

Aggiungi come fonte preferita su Google

Articoli correlati

Icona dei collaboratori

Contribuenti

Icona del Centro per le minacce

Centro delle minacce

Icona Podcast

Podcast

Icona del glossario

Glossario

Icona delle truffe

Truffe