Servizio Calcolo e Tecnologie Informatiche
phishing
Il phishing (a volte classificato come SPAM) è un insieme di tecniche utilizzate da un attaccante per convincere una vittima a fornire informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile in una comunicazione digitale.
Tale tecnica è messa in atto prevalentemente attraverso l’invio di email che chiedono al destinatario di introdurre dati personali (generalmente credenziali di accesso) su pagine web che create appositamente per replicare l’aspetto delle pagine istituzionali dell’organizzazione di appartenenza dell’utente ( nel nostro caso i siti INFN di sezioni e laboratori).
Un attacco di phishing inizia con l’invio di un mail che contiene un'offerta allettante o richiede un’azione quale:
– Compilare un modulo (ad es. cambio password)
– Rispondere all’indirizzo di provenienza comunicando informazioni
– Cliccare su un link che conduce ad un sito fasullo
– Aprire un allegato infetto (ad es. uno zip che dovrebbe contenere una fattura).
L'impatto sull'attività gestionale amministrativa è enorme e ancor peggio si può andare incontro a
- Truffe (anche di centinaia di migliaia di euro)
- Diffusione di dati sensibili
- Danneggiamento della reputazione dell’INFN (es. defacing siti web)
- Complicazioni legali
Ci sono soluzioni tecniche per ridurre il numero e la frequenza delle email di phishing che vengono distribuite sulle caselle di posta degli utenti LNS regolarmente adottate sui sistemi di posta, ma la sofisticatezza degli attacchi e la loro alta variabilità rendono questi accorgimenti non sempre totalmente efficaci nell’evitare la diffusione dei messaggi malevoli.
Per questo è molto importante che i singoli utenti riescano ad individuare un tentativo di phishing in autonomia, anche perchè la salvaguardia delle proprie credenziali è alla base di qualsiasi approccio alla sicurezza informatica.
Esempi di phishing e come riconoscerli
-
Presenza di link sospetti:
reale destinazione di un link. Se INFN il dominio deve terminare con infn.it
Esempio https://cdc.lns.infn.it/argomento
-
Presenza di errori:
l’email contiene errori grammaticali o ortografici banali, tipici di una traduzione sommaria o automatica, che raramente vengono tollerati all’interno di email istituzionali.
-
Mittente:
il mittente risulta poco familiare e non appartiene al dominio INFN. Attenzione in alcuni casi puo’ anche essere "infn" ma, gli indirizzi email possono essere sovrascritti molto semplicemente! Verificate sempre l'intestazione. L'analisi dell'header è utile per identificare il reale mittente.
-
Richieste urgenti:
il messaggio sollecita l’azione dell’utente con particolare urgenza, ad esempio minacciando ripercussioni sul piano economico o l’esclusione da specifici servizi..
Download di documenti
In caso di dubbio verificate il file in allegato alla mail utilizzando VirusTotal un servizio gratuito online
https://www.virustotal.com/
Casi di phishing molto sofisticati
Alcune mail possono riportare stracci di conversazioni reali intercorse con colleghi.
Siamo nel caso di “Thread hijacking”: l’attaccante si inserisce in una conversazione reale (magari perché ha compromesso un account) e risponde nel thread esistente.
Siate critici!
Anche se la mail sembra “vera”, controllate sempre:
– richieste insolite o urgenti
(es. pagamenti, credenziali, file da aprire subito)
– cambio di comportamento
il collega scrive in modo strano o usa un tono diverso
– indirizzo email reale
non solo il nome: guarda l’indirizzo completo (può essere molto simile ma falso)
– allegati o link
anche se arrivano in un thread legittimo
Nel dubbio
Contattare sempre il Servizio Calcolo, inoltrando il messaggio sospetto “come allegato”
Non immettere credenziali INFN su pagine web
Si ringrazia la sezione di Genova e si rimanda alla loro guida per ulteriori esempi
Supporto Utenti
Chiedi assistenza
Per problemi di accesso o utilizzo dei sistemi informatizi dei laboratori
