Phishing and cyber threats: recognizing them to defend yourself

Phishing attacks are based on social engineering techniques in which the attacker attempts to gain the user’s trust by disguising the communication as legitimate. An attack typically follows a recurring sequence:

• Receipt of a message that appears to come from a trusted source (e.g., IT services, administrative offices, well-known platforms, or a colleague)
• Induction of urgency or pressure on the user (“account expiring”, “immediate verification required”, “Have you seen this? Truly amazing J”)
• Inclusion of a link or another element (e.g., an attachment, QR code, etc.) that redirects to a counterfeit website or prompts the user to share information

The goal is to trick the user into entering sensitive data such as their login credentials or credit card number, which are then captured by the attacker. Once an account is compromised, it can be used to access institutional services, send further fraudulent messages, extend the attack to other users, and so on.

Il phishing sfrutta gli account degli utenti come punto di accesso ai servizi digitali. Ogni utente può diventare un vettore di attacco, indipendentemente dal ruolo. 

La compromissione di un singolo account può avere effetti estesi, tra cui: 

• accesso a servizi e dati non autorizzato 
• invio di e-mail fraudolente da indirizzi istituzionali (phishing interno) 
• diffusione di malware o ulteriori campagne di attacco 
• utilizzo dell’account come punto di ingresso verso altri sistemi 

L’accesso all’account email non è normalmente l’obiettivo finale dell’attacco, ma un punto di partenza: può essere utilizzato per raccogliere informazioni su altri servizi utilizzati dall’utente, intercettare comunicazioni e sfruttare i meccanismi di recupero password per compromettere ulteriori account, inclusi servizi esterni come piattaforme online o sistemi bancari. 

Alcuni indicatori ricorrenti possono aiutare a identificare comunicazioni sospette: 

• Mittente anomalo: indirizzi simili ma non identici a quelli ufficiali (es. variazioni nel dominio o nel nome visualizzato) 
• Tono urgente o intimidatorio: pressioni a eseguire rapidamente un’azione senza verifiche 
• Link non coerenti: URL che non corrispondono al dominio atteso; è consigliabile verificare l’indirizzo reale passando il mouse sul link prima di cliccare 
• Richieste inappropriate: nessun servizio richiede credenziali o dati sensibili via e-mail o messaggi 
• Errori nel testo: grammatica, formattazione o traduzioni incoerenti con comunicazioni ufficiali (anche se oggi sempre meno comune grazie all’uso di IA da parte dell’attaccante) 
• Contenuti inattesi: messaggi non richiesti, soprattutto se accompagnati da allegati o richieste di azione 

La presenza di uno o più di questi elementi deve suggerire diffidenza verso il messaggio e a verificarne la legittimità attraverso canali ufficiali. 

L’adozione di comportamenti consapevoli riduce significativamente il rischio di compromissione: 

• non interagire con contenuti sospetti: evitare di cliccare su link, aprire allegati o scansionare QR code provenienti da messaggi inattesi 
• verificare sempre il mittente e il contesto: in caso di dubbio, controllare tramite canali ufficiali (es. sito istituzionale, contatto diretto) 

Inoltre, è sempre buona pratica 

• utilizzare password robuste e uniche per ciascun servizio 
• abilitare l’autenticazione a più fattori (MFA) ove disponibile 
• mantenere aggiornati dispositivi e applicazioni, per ridurre vulnerabilità sfruttabili 

La segnalazione tempestiva di messaggi sospetti o comportamenti anomali è un elemento fondamentale per la sicurezza complessiva. 

È importante segnalare: 

• e-mail e messaggi sospetti ricevuti tramite qualunque canale (email, SMS, app di messaggistica, QR code, …) 
• accessi o attività non riconosciute sul proprio account 

La segnalazione consente di: 

• proteggere altri utenti da attacchi simili 
• attivare rapidamente contromisure tecniche (es. blocco di link o domini malevoli) 
• aggiornare i sistemi di rilevamento e filtraggio 

Ogni segnalazione contribuisce al rafforzamento della sicurezza dell’Ateneo. 

In caso di dubbio o sospetto, è dunque sempre opportuno interrompere l’azione e contattare il supporto IT dell’Ateneo 5050@polito.it. 

La sicurezza informatica è un processo continuo che richiede attenzione e responsabilità da parte di tutti. La collaborazione tra utenti e servizi IT è fondamentale per prevenire incidenti e proteggere dati e servizi dell’Ateneo. 

FAQ: Perché le università sono bersagli frequenti? 
Le istituzioni accademiche gestiscono un numero elevato di utenti, dati eterogenei e infrastrutture aperte e collaborative. Questo aumenta la superficie di attacco e rende più complesso il controllo centralizzato della sicurezza. 

FAQ: Ma che cosa può ottenere l’attaccante dall’accesso alla mail del Politecnico? 
Spesso l’obiettivo non sono i servizi universitari, ma usare le informazioni che contengono verso servizi esterni (per esempio, usare la mail dell’università per accedere all’account bancario tramite il meccanismo di recupero password) 

FAQ: un’e-mail può essere pericolosa anche senza link o allegati? 

Sì. Alcuni attacchi si basano esclusivamente sull’interazione diretta (social engineering), con l’obiettivo di ottenere informazioni o instaurare fiducia per attacchi successivi. 

FAQ: cosa significa “account compromesso” in pratica? 

Significa che un soggetto non autorizzato ha accesso alle credenziali di un utente e può: 

• leggere o inviare email a suo nome 
• accedere ai servizi istituzionali 
• utilizzare l’account per attacchi verso altri utenti o altri servizi 

FAQ: Come posso accorgermi di una compromissione? 

Non sempre è immediato. Alcuni segnali possono includere: 

• attività di accesso da luoghi insoliti  
• email inviate che non riconosci  
• modifiche a password o impostazioni non fatte da te  

In caso di dubbio, è importante contattare subito il supporto IT. 

FAQ: Perché i messaggi di phishing sono sempre più credibili? 

Gli attaccanti utilizzano tecniche sempre più sofisticate, tra cui: 

• Replica grafica dei servizi legittimi 
• Utilizzo di informazioni raccolte da fonti pubbliche 
• Linguaggio coerente con comunicazioni istituzionali 
• Uso di AI per la creazione del contenuto 

FAQ: L’autenticazione a più fattori è sufficiente? 

Riduce significativamente il rischio di compromissione, ma non lo elimina. Rimane fondamentale la verifica dell’affidabilità delle comunicazioni e l’attenzione dell’utente. 

FAQ: cosa succede dopo che segnalo un’email sospetta? 

Di norma il team di sicurezza: 

• analizza il messaggio  
• blocca eventuali domini o link malevoli 
• valuta la diffusione dell’attacco 
• avvisa altri utenti se necessario  
• aggiorna i sistemi di protezione  

La segnalazione contribuisce quindi alla sicurezza collettiva. 

FAQ: usare dispositivi personali aumenta il rischio? 

Non necessariamente, ma dispositivi non aggiornati o privi di adeguate misure di sicurezza (aggiornamenti di sistema, antivirus) possono risultare più vulnerabili.