Il Phishing è una delle tecniche più diffuse di frode informatica ideata allo scopo di ottenere l'accesso a informazioni personali (ad esempio, codice utente e password per l’accesso ai servizi informatici di Ateneo).
I truffatori inviano false email, generalmente non personalizzate, apparentemente provenienti dall'Ateneo per grafica e contenuto, utilizzando in genere indirizzi di posta affini (ad esempio con il mittente valorizzato con servizio.tecnico@unipg.webs.com).
La richiesta contenuta in queste email è spesso motivata da guasti ai sistemi informatici oppure da attività di verifica e riscontro dati. Il destinatario è invitato a collegarsi tramite un link, presente nel messaggio, ad un sito Internet, in apparenza simile a quelli dei servizi informatici di Ateneo e ad inserirvi le informazioni riservate. L’email può inoltre utilizzare toni “intimidatori”, come le minacce di sospensione del servizio in caso di mancata risposta. Le pagine web e le email di phishing spesso contengono errori ortografici e grammaticali e fanno un utilizzo scorretto della lingua italiana, indice di una traduzione automatica dei messaggi.
La scheda del Garante per la protezione dati personali riporta in maniera esemplificativa alcune indicazioni utili.
Sei tenuto a:
- diffidare di qualunque mail che richieda l’inserimento di credenziali di accesso. La Ripartizione Servizi Informatici e Statistici non richiede mai i codici personali né tramite mail, né tramite lettere e né telefonando. Prestare quindi sempre attenzione alle email e alle telefonate che si ricevono e, in caso di dubbi, contattare la Ripartizione;
- non rispondere ad email sospette ed evitare di aprire allegati, soprattutto se non si tratta di documenti richiesti esplicitamente;
- non cliccare sui link presenti in email sospette, in quanto questi collegamenti potrebbero condurvi a un sito contraffatto, difficilmente distinguibile dall’originale;
- verificare la correttezza e l'identità del sito web, prima di inserire dati riservati come codice utente e password:
- l’indirizzo della pagina inizia per https invece di http;
- compare l’icona di un lucchetto chiuso (nella barra degli indirizzi o nella barra di stato del browser). Cliccando sul lucchetto verranno mostrate le caratteristiche di sicurezza della pagina e del certificato digitale in essa installato;
Tre esempi di email di phishing:
E' possibile collegarsi alla pagina "Avvisi di phishing" per vedere l'elenco delle e-mail arrivate ad indirizzi @unipg.it che sono state riconosciute come phishing.
Un esempio di pagina web di phishing: