Sappiamo bene quanto il phishing e le varie tecniche di social engineering anche via mail rappresentino un rischio reale per la sicurezza dei dati e della Rete istituzionale. Tuttavia la posta elettronica rimane ancora oggi un mezzo di comunicazione privilegiato per tutta una serie di comunicazioni, comprese quelle relative alla gestione delle credenziali unisiPass.
I nostri sistemi di gestione delle credenziali unisiPass, in gran parte automatizzati, inviano notifiche via mail sia all’indirizzo istituzionale che quello privato (precedentemente indicato attraverso la procedura my.unisi.it/personal-email) con un layout grafico di questo tipo:
Tuttavia l’aspetto grafico non è sufficiente a garantirne l’autorevolezza, poiché un attaccante potrebbe simulare la medesima grafica e impostazione per trarre in inganno la potenziale vittima, inducendola ad inserire le proprie credenziali o dati personali su portali fraudolenti.
Per questi motivi è importante sempre fare attenzione ad alcuni elementi:
- l’indirizzo del mittente della mail è sempre dentro il dominio @unisi.it (es. noreply@unisi.it, helpdesk@unisi.it….);
- non viene mai richiesto di rispondere alla mail, soprattutto indicando credenziali o altre informazioni personali;
- i link contenuti nella mail sono diretti (non usiamo url-shortner) sulla piattaforma https://my.unisi.it;
Consigliamo tuttavia, come indicato nelle stesse mail inviate, di verificare che il link su cui cliccate sia effettivamente su my.unisi.it e adeguatamente protetto da HTTPS. Potete, per ulteriore verifica, cliccare sul pulsante a sinistra della URL per verificare la validità del certificato SSL.
Nel caso vi siano elementi non conformi che possano dar sospetto ad una mail fraudolenta, vi preghiamo di segnalarlo via mail a helpdesk@unisi.it seguendo le istruzioni: Come segnalare correttamente un tentativo di phishing