“Non esistono risposte facili a problemi complessi”
Il phishing e le varie tecniche di social engineering anche via mail rappresentano un rischio reale per la sicurezza dei dati e della Rete istituzionale.
Tuttavia la posta elettronica rimane ancora oggi un mezzo di comunicazione privilegiato per tutta una serie di comunicazioni, comprese quelle relative alla gestione delle credenziali unisiPass, ed è per questo che dobbiamo imparare a riconoscere le mail autorevoli da quelle truffaldine.
I nostri sistemi di gestione delle credenziali unisiPass, in gran parte automatizzati, inviano notifiche via mail sia all’indirizzo istituzionale che quello privato (precedentemente indicato attraverso la procedura my.unisi.it/personal-email) con un layout grafico di questo tipo:
Tuttavia l’aspetto grafico non è sufficiente a garantirne l’autorevolezza, poiché un attaccante potrebbe simulare la medesima grafica e impostazione per trarre in inganno la potenziale vittima, inducendola ad inserire le proprie credenziali o dati personali su portali fraudolenti.
Per questi motivi è importante sempre fare attenzione ad alcuni elementi:
- l’indirizzo del mittente della mail è sempre dentro il dominio @unisi.it (es. noreply@unisi.it, helpdesk@unisi.it….);
- non viene mai richiesto di rispondere alla mail, soprattutto indicando credenziali o altre informazioni personali;
- i link contenuti nella mail sono diretti (non usiamo url-shortner) sulla piattaforma https://my.unisi.it;
Consigliamo tuttavia, come indicato nelle stesse mail inviate, di verificare che il link su cui cliccate sia effettivamente su my.unisi.it e adeguatamente protetto da HTTPS.
Nel caso vi siano elementi non conformi che possano dar sospetto ad una mail fraudolenta, vi preghiamo di segnalarlo seguendo le istruzioni: Come segnalare correttamente un tentativo di phishing