![[IRT@UniSI] Campagna di phishing mirata a docenti e personale dell’Ateneo](https://www.uet.unisi.it/wp-content/uploads/2016/06/cropped-bannerunisi-1.jpg)
Si informa la comunità accademica che nel pomeriggio di ieri, giovedì 12 giugno 2025, alcuni docenti hanno ricevuto nella propria casella di posta elettronica istituzionale una mail con mittente il nome di “Roberto Di Pietra”, Rettore dell’Università di Siena.
In realtà, ad uno sguardo più attento, l’indirizzo mail da cui sono state inviate queste mail non ha niente a che vedere con il dominio unisi.it ma, bensì, con un generico indirizzo @gmail.com.
Anche il tono della mail era inconsueto e la stessa firma conteneva elementi potenzialmente incongruenti e sospetti:
Siamo davanti ad un attacco di spear phishing che sfrutta tecniche di social engineering per indurre la vittima a compiere una azione utile all’attaccante. Elementi tipici di questo tipo di attacchi sono:
– uso di un nome autorevole, in questo caso il nome del Magnifico Rettore dell’Ateneo;
– richiesta di una qualche azione o risposta immediata e/o urgente;
E’ pertanto necessario fare attenzione quando si ricevono richieste sospette o insolite, verificando attentamente anche la congruità dell’indirizzo mail di provenienza, poiché potrebbero essere il primo passo di un attacco il cui obiettivo è far compiere alla vittima azioni dannose (es. richieste di denaro, comunicazione di credenziali o informazioni personali…) sfruttando strumenti di ingegneria sociale (es. fiducia verso un nome autorevole).
La difesa più efficace, in questi casi, è NON rispondere e non dare seguito alle richieste dell’attaccante. In caso di dubbio, verificare attraverso altri canali (es. una telefonata) la legittimità della richiesta.
Si precisa che questo tipo di attacchi non indica la compromissione dei sistemi informatici dell’Ateneo: tecnicamente parlando, sono normali messaggi di posta elettronica.
Ricordiamo che potete inviare a abuse@unisi.it eventuali mail sospette ricevute sugli account istituzionali, seguendo le istruzioni a questa pagina: www.uet.unisi.it/sicurezza/come-segnalare-correttamente-un-tentativo-di-phishing/
Segnaliamo anche un interessante tutorial interattivo di Google per imparare a riconoscere i tentativi di phishing, gratuito, che trovate qui: https://phishingquiz.withgoogle.com/
Per finire, ricordiamo anche il tutorial “UniSIcuri in Rete – Non abboccate al phishing!“: