Se pensate che i bersagli preferiti degli hacker siano solo i conti correnti o i profili social delle celebrità, vi state sbagliando. Negli ultimi anni, nel mercato nero del dark web e persino su alcune piattaforme di e-commerce tradizionali, è esploso il commercio di un bene apparentemente innocuo: le credenziali degli studenti universitari.
Un indirizzo email che termina con il classico dominio .edu (o l’equivalente nazionale di un ateneo) può valere cifre sorprendenti. Ma cosa rende una semplice mail universitaria così preziosa agli occhi di cybercriminali, risparmiatori incalliti e truffatori?
1. Il “passaporto del risparmio”: sconti e abbonamenti Premium
Il motivo più immediato e diffuso è l’accesso a un ecosistema immenso di agevolazioni economiche. Le grandi aziende tecnologiche e di servizi offrono sconti massicci agli studenti per fidelizzarli prima che entrino nel mondo del lavoro.
Avere un account universitario legittimo permette di riscattare:
-
Software professionali gratuiti o stracciati: licenze Microsoft Office 365, la suite Adobe Creative Cloud (Photoshop, Premiere), o strumenti di sviluppo come GitHub e JetBrains. Parliamo di strumenti che a un professionista costano centinaia di euro all’anno.
-
Intrattenimento a metà prezzo: abbonamenti a Spotify, Apple Music, Amazon Prime Student e YouTube Premium scontati del 50% o più.
-
Hardware: Sconti significativi sui cataloghi di Apple, Samsung, Dell e Lenovo.
Chi acquista questi account illegalmente spesso lo fa semplicemente per risparmiare cifre considerevoli sulle spese digitali quotidiane.
2. La miniera d’oro della ricerca: accesso a paper scientifici
Le università spendono ogni anno milioni di euro per garantire ai propri iscritti l’accesso ai più prestigiosi database accademici del mondo.
Piattaforme come JSTOR, Elsevier, IEEE Xplore, Springer o Nature richiedono abbonamenti singoli proibitivi (spesso decine di dollari per la lettura di un solo articolo). Un account universitario è la chiave d’accesso gratuita a questa sterminata libreria del sapere globale. Questo fa gola a ricercatori indipendenti, aziende private che vogliono fare Key R&D senza pagare i costi di licenza, o competitor industriali.
3. L’Infrastruttura di calcolo e lo storage “Illimitato”
Molte università forniscono ai propri studenti spazio di archiviazione generoso (a volte illimitato) su servizi cloud come Google Drive o Microsoft OneDrive.
Inoltre, gli studenti di facoltà tecniche hanno spesso accesso a crediti gratuiti per piattaforme cloud come AWS (Amazon Web Services), Microsoft Azure o Google Cloud, pensati per scopi didattici. I cybercriminali utilizzano questi account per:
-
Mining di criptovalute: Sfruttare la potenza di calcolo cloud dell’università a costo zero.
-
Host di file illegali: Usare lo storage cloud per nascondere materiale piratato o malware, sfruttando la banda larga degli atenei.
4. Il cavallo di Troia: truffe e phishing ad alta credibilità
Questo è l’aspetto più pericoloso. I server di posta delle università godono di una reputazione altissima (IP reputation). I filtri antispam di Gmail, Outlook e dei server aziendali si fidano intrinsecamente di una mail che proviene da un dominio universitario riconosciuto.
Un hacker che prende il controllo di una mail .edu:
-
Può inviare migliaia di mail di phishing che supereranno facilmente i controlli di sicurezza, finendo dritte nella posta in arrivo delle vittime.
-
Può condurre truffe mirate all’interno dello stesso ateneo (es. false comunicazioni su tasse o cambi di IBAN per i pagamenti), mietendo centinaia di vittime tra gli studenti.
Il paradosso della fiducia: Più un’istituzione è autorevole nel mondo reale, più il suo riflesso digitale diventa un’arma d’attacco formidabile se cade nelle mani sbagliate.
Come proteggersi?
Il valore di questi account è il motivo per cui le università oggi sono tra le realtà più colpite da attacchi informatici. Per gli studenti, la regola d’oro è trattare la mail universitaria con la stessa cura con cui si tratta l’home banking: password uniche, non condivise, e attivazione immediata dell’autenticazione a due fattori (2FA).
In fondo, quella che sembra solo una mail per ricevere i voti degli esami, per il mercato nero è un vero e proprio passepartout di valore economico e informatico.
