Come proteggersi dalle mail di phishing

Questo sito utilizza cookie tecnici, propri e di terze parti, per garantire la corretta navigazione e analizzare il traffico e, con il tuo consenso, cookie di profilazione e altri strumenti di tracciamento di terzi per mostrare video e misurare l'efficacia delle attività di comunicazione istituzionale. Puoi rifiutare i cookie non necessari e di profilazione cliccando su “Rifiuta tutti”. Puoi scegliere di acconsentirne l’utilizzo cliccando su “Accetta tutti” oppure puoi personalizzare le tue scelte cliccando su “Rivedi le tue scelte sui cookie”.
""

Cos'è il phishing?

In ambito informatico, il phishing (“pesca” di dati sensibili) è un’attività illegale attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile.

Solitamente avviene attraverso l'invio di un messaggio di posta elettronica (anche Posta Elettronica Certificata - PEC), simile a un avviso ufficiale inviato da un'origine attendibile.
Spesso nella email si invita il destinatario a collegarsi ad un sito web fraudolento nel quale viene richiesto di specificare informazioni personali, ad esempio un numero di conto corrente o una password, informazioni che vengono successivamente utilizzate per scopi illegali, come l'ottenimento dell'identità altrui. Altre volte viene richiesto di inviare, via email, username e password, generalmente insieme ai dati personali (nome, cognome, codice fiscale, ecc.) dell'utente.

Cos'è lo spam?
Le regole da seguire
Come riconoscere una mail sospetta
Strumenti Google Mail
Cosa fare se ritieni di essere vittima di phishing

Cos'è lo spam?

Lo spam indica l'invio, attraverso indirizzi generici non verificati o sconosciuti, di messaggi pubblicitari indesiderati o non richiesti, generalmente di carattere commerciale. Noto anche come posta indesiderata (in inglese junk mail), può essere attuato attraverso messaggi di posta elettronica, chat, forum, social network, ecc.. .

Le regole da seguire

Segui sempre queste semplici indicazioni:

  • prima di inserire le tue credenziali su un sito web controlla attentamente il dominio. Il dominio è visibile nella parte dell'indirizzo web a cui ti stai connettendo. Il sito deve sempre appartenere al dominio unimib.it.
    • Esempi sono nomedelsito.unimib.it e https://idp-idm.unimib.it/idp/profile/ (la parte sottolineata è il dominio)
    • se non sei sicuro della validità di un dominio non inserire le tue credenziali
  • prima di inserire le tue credenziali su un sito web controlla attentamente se sono protette da una connessione sicura (https). Il protocollo HTTPS è visibile nella parte iniziale dell'indirizzo web a cui ti stai connettendo (esempio: https://www.unimib.it) o dal lucchetto chiuso posto alla sinistra dell'indirizzo web
  • non inviare mai la tua password via email. In nessun caso, l'Ateneo richiede di fornire la password, né via email, né per telefono o in altri modi. Eventuali richieste della password personale sono da considerarsi frodi informatiche
  • in caso di comunicazioni in arrivo da un mittente apparentemente del dominio istituzionale @unimib.it e @campus.unimib.it che invita a cliccare su un link sospetto, si consiglia di verificare attentamente. La sola lettura della mail non espone a rischi informatici

Se arriva una email da un mittente @unimib che ti invita a cliccare su un link sospetto, fai attenzione!

Come riconoscere una mail sospetta

Elementi formali di cui tenere conto per verificare l’attendibilità di un’email:

  • presenza di parole straniere, evidenti errori di traduzione o grossolani refusi ortografici, semantici, sintattici (in particolare le concordanze maschile/femminile, singolare/plurale) e di pragmatica (l’alternanza della forma di cortesia al dare “del tu”)
  • presenza di simboli strani (es. caratteri cirillici mescolati a quelli latini)
  • stranezze nel nome del mittente o nel suo indirizzo di posta elettronica (es. la sua coincidenza con quello del destinatario)
  • stranezze nel nome del destinatario (es. diverso dal nome effettivo associato all’indirizzo email)
  • incongruenze (es. tra l’indirizzo del mittente e un eventuale indirizzo di posta elettronica consigliato nel testo)
  • il link sul quale si è invitati a cliccare riporta spesso un indirizzo con lievi differenze rispetto all'originale (per esempio, anziché https://www.unimib.it/ateneo/ potrebbe essere indicato https://www.unimib.altronome.ru/ateneo oppure una serie di numeri come http://193.256.207.17/unimib)
  • mancanza di informazioni sufficienti (es. sul servizio sul quale si vuole richiamare l’attenzione)
  • altri elementi riconducibili a conoscenze generali e al buon senso.

Strumenti Google Mail

Per segnalare una mail di phishing, segui le seguenti semplici indicazioni:

  • Apri il messaggio dalla pagina di Google Mail.
  • Accanto a Rispondi, fai clic su Altro .
  • Fai clic su Segnala phishing.

Per segnalare una mail di spam, segui le seguenti semplici indicazioni:

  • Apri il messaggio dalla pagina di Google Mail.
  • Accanto a Rispondi , fai clic su Altro .
  • Fai clic su Segnala spam.

Cosa fare se ritieni di essere vittima di phishing

Se hai ricevuto una mail sospetta, non rispondere non cliccare sui link in essa presenti. 

Se hai già inserito o comunicato le credenziali, cambia immediatamente la password

Se non puoi farlo, segnala immediatamente il problema contattando l'ufficio Cyber Security.

a cura di Area sistemi informativi, ultimo aggiornamento il 25/09/2024