Come riconoscere una mail di phishing

phishing-immagine.png

Capita sempre più frequentemente che anche nostri utenti siano vittime del phishing, ossia di una truffa via mail con la quale dei malintenzionati cercano di ingannare la vittima convincendola a fornire informazioni personali (es. credenziali di accesso).
E’ importante quindi valutare sempre con attenzione le mail ricevute; riconoscere l'autenticità di un messaggio non è sempre semplice, ma di seguito riportiamo alcuni consigli sui controlli da seguire ogni volta che si riceve una mail.

Come prima regola, sospettare sempre se si riceve una mail che sollecita ad agire urgentemente: le modifiche importanti ed eventuali chiusure di servizi vengono comunicate (e pubblicate) con congruo anticipo.
Inoltre:

  1. Valutare con attenzione il mittente del messaggio;
  2. Controllare scrupolosamente i collegamenti sui quali è chiesto di cliccare;
  3. Non aprire mai un allegato del quale non si è sicuri;
  4. Verificare la presenza di testi grammaticalmente scorretti, errori di traduzione, genericità della comunicazione.

In dettaglio alcune indicazioni su come analizzare con criterio i vari punti:

  1. Valutare con attenzione il mittente del messaggio

    1. non fermarsi semplicemente al nome visualizzato in anteprima, analizzare anche l'indirizzo email (deve coincidere con quanto dichiarato nel nome della persona – ad esempio “Helpdesk Uniud” come nome visualizzato, se ha come indirizzo <helpdeskuniud@gmail.com> o <helpdesk@uniudit.it> non è un indirizzo istituzionale valido!)
    2. Tenere presente che la richiesta di azioni importanti quali cambio password, aggiornamento account, ecc. non verrebbero mai inviate da parte di indirizzi personali di studenti (una mail con un mittente @spes.uniud.it che avvisa che l’account è in scadenza e chiede di riattivarlo sicuramente non è una comunicazione valida!);
    3. In caso di indirizzi mittenti non personali (es. helpstudenti@uniud.it), nel caso siano appartenenti al dominio dell’università (@uniud.it), per avere la certezza che l’indirizzo esista si può simulare l’invio di una nuova mail a quell’indirizzo; se compare la dicitura “L’indirizzo di posta elettronica xxxx@uniud.it non è valido” significa che l'indirizzo non esiste e in questo caso sicuramente la comunicazione non è affidabile.
      phishing 2.png

  2. Controllare scrupolosamente i collegamenti sui quali è chiesto di cliccare

Come smascherare un link fasullo? Senza cliccarlo, si passa il mouse sopra il link per visualizzare il vero URL nascosto; spesso si tratta di un indirizzo con lievi differenze rispetto all'originale. Nell'esempio seguente si può notare come, pur essendo una mail molto somigliante ad una inviata dall’Università, l’url (che si può vedere passando il mouse sopra il link “click qui e accedi di nuovo!”)  non è una pagina del sito uniud.it!
phishing 1.png

Eventuali azioni massive richieste agli studenti, quali ad esempio un cambio password del proprio account, vengono sempre comunicate anche attraverso le pagine web di riferimento del servizio coinvolto (su spes.uniud.it se si tratta dell’account di posta degli studenti, su webmail per la posta dei docenti e dipendenti) e altri canali. Prima di agire si raccomanda sempre di verificare l’autenticità della richiesta sulle pagine istituzionali dell’Università. 

  1. Non aprire mai un allegato del quale non si è sicuri

    Controllare attentamente il nome e l'estensione del file per cercare di capire se potrebbe trattarsi di un allegato malevolo. Solitamente file contenenti malware sono allegati a delle email false relative a fatture, premi stratosferici solo per voi, multe o immagini a carattere sessuale.
  1. Altri elementi da valutare con attenzione sono:

    Presenza di testi grammaticalmente scorretti;
    Presenza di parole straniere nel testo della email o con evidenti errori di traduzione;

    Genericità della comunicazione,
    che non spiega chiaramente il motivo per cui viene richiesta una certa azione (ad esempio generico aggiornamento dell’account). 
  1. Senso di urgenza dell’azione richiesta

    Le e-mail di phishing spesso creano un falso senso di urgenza e pericolo che spinge l’ignara vittima a fare ciò che dicono. Per esempio, fanno credere alla vittima che c’è stato un tentativo di accesso al proprio profilo, o che l’account sta per scadere, e la invitano ad accedere subito al profilo personale cliccando sul link fornito dal messaggio. Purtroppo però il link non va al sito autentico, ma ad uno creato ad-hoc per la truffa.

Sebbene le e-mail di phishing siano sempre più sofisticate e difficili da riconoscere come tali, non sono mai perfette al 100%. Prestando attenzione a tutti gli elementi sopra elencati è possibile smascherarle con facilità.
Una volta individuata una mail come phishing, è sufficiente ignorarla (o meglio eliminarla); non è necessario segnalarla o inoltrarla ai servizi di assistenza.