Il phishing è un tipo di truffa effettuata su Internet attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso.
Si tratta di una attività illegale: il malintenzionato effettua un invio massivo di messaggi di posta elettronica che imitano, nell'aspetto e nel contenuto, messaggi legittimi di fornitori di servizi; tali messaggi fraudolenti richiedono di fornire informazioni riservate come, ad esempio, login e password per accedere ad un determinato servizio.
Metodologia d'attacco
Il processo standard delle metodologie di attacco di phishing può riassumersi nelle seguenti fasi:
- l'utente malintenzionato (phisher) spedisce a un utente un messaggio email che simula, nella grafica e nel contenuto, quello di una istituzione nota al destinatario (per esempio provider di posta elettronica, home page di istituti bancari, siti di aste online o di e-commerce).
- L'indirizzo di posta elettrica del mittente contiene le parole informazioni@dominio.it, webmaster@dominio.it, supporto@dominio.it, idp@dominio.it.
- l'e-mail contiene quasi sempre avvisi di particolari situazioni o problemi verificatesi con il proprio account (ad esempio scadenza dell'account, richiesta di assistenza online).
- l'e-mail invita il destinatario a seguire un link, presente nel messaggio e il link fornito, tuttavia, non porta in realtà al sito web ufficiale, ma a una copia fittizia apparentemente simile al sito ufficiale, situata su un server controllato dal phisher, allo scopo di richiedere e ottenere dal destinatario dati personali particolari come ad esempio l'accoppiata login/password. Queste informazioni vengono memorizzate dal server gestito dal phisher e quindi finiscono nelle mani del malintenzionato.
Come difendersi
L'Università di Urbino non utilizza mai "canali indiretti" (telefono, posta elettronica o siti web richiamati da link presenti su e-mail) per richiedere agli utenti le loro credenziali di accesso ai siti protetti. Si raccomanda pertanto di diffidare da ogni tipo di messaggio che possa mirare a tale scopo.
Con il passare degli anni e il crescere dei tentativi di attacco phishing, i provider di posta elettronica e le software house che sviluppano client email hanno dotato i loro prodotti di filtri antispam e antiphishing che proteggono l'incolumità dell'utente. Non sempre, però, le maglie dei sistemi di sicurezza riescono a intercettare le email truffaldine: per questo bisogna prestare comunque molta attenzione ed eventualmente segnalare copia del messaggio attraverso il sistema di ticket su https://ticket.uniurb.i
Cambio password
Tutti coloro che hanno inserito le proprie credenziali all'interno di pagine web non ufficiali, al fine di garantire la massima sicurezza, sono invitati a procedere con il cambio password tramite la funzione dedicata.
Il processo di cambio password è semplice: accedere al sito https://iam.uniurb.it senza effettuare il login e individuare la sezione "Recupero Password".
Si ricorda che i percorsi per studentesse / studenti e docenti, ricercatori, personale tecnico amministrativo sono diversi, quindi assicurarsi di cliccare la sezione corretta in base al proprio ruolo.
