Il Phishing è una delle tecniche più diffuse di frode informatica ideata allo scopo di ottenere l'accesso a informazioni personali (ad esempio, codice utente e password per l’accesso ai servizi informatici di Ateneo).
I truffatori inviano false email, generalmente non personalizzate, apparentemente provenienti dall'Ateneo per grafica e contenuto, utilizzando in genere indirizzi di posta affini (ad esempio con il mittente valorizzato con servizio.tecnico@unipg.webs.com).
La richiesta contenuta in queste email è spesso motivata da guasti ai sistemi informatici oppure da attività di verifica e riscontro dati. Il destinatario è invitato a collegarsi tramite un link, presente nel messaggio, ad un sito Internet, in apparenza simile a quelli dei servizi informatici di Ateneo e ad inserirvi le informazioni riservate. L’email può inoltre utilizzare toni “intimidatori”, come le minacce di sospensione del servizio in caso di mancata risposta. Le pagine web e le email di phishing spesso contengono errori ortografici e grammaticali e fanno un utilizzo scorretto della lingua italiana, indice di una traduzione automatica dei messaggi.
Sei tenuto a:
- diffidare di qualunque mail che richieda l’inserimento di credenziali di accesso. La Ripartizione Servizi Informatici e Statistici non richiede mai i codici personali né tramite mail, né tramite lettere e né telefonando. Prestare quindi sempre attenzione alle email e alle telefonate che si ricevono e, in caso di dubbi, contattare la Ripartizione;
- non rispondere ad email sospette ed evitare di aprire allegati, soprattutto se non si tratta di documenti richiesti esplicitamente;
- non cliccare sui link presenti in email sospette, in quanto questi collegamenti potrebbero condurvi a un sito contraffatto, difficilmente distinguibile dall’originale;
- verificare la correttezza e l'identità del sito web, prima di inserire dati riservati come codice utente e password:
- l’indirizzo della pagina inizia per https invece di http;
- compare l’icona di un lucchetto chiuso (nella barra degli indirizzi o nella barra di stato del browser). Cliccando sul lucchetto verranno mostrate le caratteristiche di sicurezza della pagina e del certificato digitale in essa installato;
Accedi all'infografica del Garante per la protezione dei dati personali:
Tre esempi di email di phishing:
E' possibile collegarsi alla pagina "Avvisi di phishing" per vedere l'elenco delle e-mail arrivate ad indirizzi @unipg.it che sono state riconosciute come phishing.
Un esempio di pagina web di phishing: