![[IRT@UniSI] Informazioni in merito alle recenti capagne di phishing ai danni degli utenti USiena](https://www.uet.unisi.it/wp-content/uploads/2016/06/cropped-bannerunisi-1.jpg)
![[IRT@UniSI] Informazioni in merito alle recenti capagne di phishing ai danni degli utenti USiena](https://www.uet.unisi.it/wp-content/uploads/2023/07/furto_credenziali.jpg)
In seguito alle recenti campagne di phishing ai danni degli utenti della comunità accademica senese riteniamo opportuno chiarire alcuni aspetti e dare dei consigli a coloro che fossero incappati in tali campagne.
Purtroppo, le campagne di phishing sono uno dei veicoli più usati per predisporre un attacco a sistemi e reti informatiche: per meglio far comprendere il fenomeno, è come se una banda di ladri d’appartamento cercasse, come prima cosa, di rubare ai proprietari le chiavi del portone di casa (le credenziali).
Per questi motivi, oltre a ricordare all’utenza di fare sempre attenzione alle mail che si ricevono ed a valutarne l’effettiva autorevolezza (https://www.uet.unisi.it/sicurezza/unisicuri-in-rete-non-abboccate-al-phishing/), invitiamo tutti gli utenti ad aumentare la sicurezza del proprio account istituzionale abilitando il secondo fattore di autenticazione, seguendo le istruzioni riportate qui: https://www.uet.unisi.it/account-google-attivare-la-verifica-in-due-passaggi/.
L’uso di un secondo fattore di autenticazione offre una ragionevole protezione e sicurezza del proprio account unisiPass, per il quale ricordiamo che l’assegnatario è responsabile sia dell’uso che della corretta conservazione delle chiavi di accesso.
Nell’eventualità si cada in un phishing o, comunque, la riservatezza delle credenziali sia compromessa (es. password dettata a voce al telefono, scritta su un foglio sopra la scrivania o data ad una terza persona) è necessario come prima cosa cambiare la password attraverso la relativa procedura sul sito web https://my.unisi.it.
Successivamente è necessario verificare attentamente eventuali segni di attività anomale sulle piattaforme accessibili con tale account (la unisiPass permette l’accesso a più servizi offerti dall’Ateneo) e segnalarle prontamente via mail ad abuse@unisi.it: si prega di utilizzare questa casella mail solamente in caso di evidenze (o ragionevole sospetto) di abusi. Tutte le altre richieste di natura tecnica (guasti e problemi tecnici, nuove esigenze, etc.) vanno inoltrate a helpdesk@unisi.it.
Nella sfortunata eventualità che il cybercriminale, dopo essere illegittimamente entrato in possesso delle credenziali, abbia compiuto attività illecite sarà opportuno valutare anche una denuncia alle autorità competenti (Polizia Postale) da parte dell’assegnatario dell’account. Ricordiamo infatti che l’uso e la custodia dell’account unisiPass è regolato dal Disciplinare Informatico (https://www.uet.unisi.it/sicurezza/regolamento-contenente-il-disciplinare-informaticodelluniversita-degli-studi-di-siena/) e che la responsabilità delle azioni compiute con tale account è dell’assegnatario stesso.
Nell’occasione, rimanendo a disposizione per eventuali chiarimenti, desideriamo ringraziare tutti coloro che hanno prontamente segnalato le mail di phishing, permettendoci di intervenire nel più breve tempo possibile a tutela degli utenti. Si ricorda che la corretta modalità di segnalazione di una mail sospetta, con tutti gli elementi necessari a poter fare le opportune verifiche, è descritta a questa pagina web: https://www.uet.unisi.it/sicurezza/come-segnalare-correttamente-un-tentativo-di-phishing/.