È in corso una campagna malevola via SMS, ai danni dei clienti BPM Business, che ha come obiettivo il furto delle credenziali di accesso alla propria area riservata bancaria, codice OTP compreso.
Indice degli argomenti
“BPM BUSINESS: è stata richiesta autorizzazione”, un SMS malevolo
L’attacco prende di mira i clienti BPM BUSINESS ma, come spesso accade non è lanciato con un target preciso, dunque utilizza grandi data leak presenti online per la ricerca delle vittime. In una prima fase è svolto con la ricezione, da parte della vittima, di un SMS fraudolento, che tenta di imitare una ipotetica comunicazione emergenziale di Banco BPM.
Il testo si presenta così: “BPM BUSINESS: è stata richiesta un autorizzazione di 250,00 euro per negare l’operazione segui la procedura https[:]//lstu.fr/youbusiness”.
Da una prima analisi capiamo che gli operatori malintenzionati hanno abusato del servizio gratuito di URL shortener Let’s Shorter That URL (LSTU.fr), creando un redirect al dominio (spazio Web) di proprietà dei criminali.
Le pagine Web mostrate in figura, che rispecchiano la totalità grafica del gruppo bancario Banco BPM SpA, sono in realtà localizzate su un Cpanel all’interno dell’hosting di AKAMAI.
È dunque una classica frode di phishing che ci deve mettere subito in allerta già dalla ricezione dell’SMS con link inatteso e tramite il quale si richiedono le credenziali.
Il link non è atteso dal cliente (anche perché potrebbe arrivare pure ai non clienti), inoltre non è appartenente alla banca Banco BPM e l’utente può accorgersi di questo guardando l’indirizzo che appare nel proprio browser di navigazione, qualora avesse deciso di cliccare sul link all’interno dell’SMS “https://business[.]170-187-162-148.cprapid.com/youbusiness”.
La frode continua con la richiesta dell’OTP
La campagna è guidata dalla missione del furto delle credenziali, qualsiasi cosa venga digitata sui campi di testo offerti dalla pagina criminale infatti, non produce alcun errore, segno che non viene verificata da alcun database interno alla banca. Tutte le informazioni immesse verranno direttamente registrate dal gruppo criminale che sta dietro questa campagna malevola.
Una volta richiesti e catturati di dati relativi al codice cliente e password, viene richiesto il numero di telefono e, mentre i criminali dall’altra parte dello schermo, stanno effettuando il tentativo di ingresso con i dati appena comunicati, il vero sistema bancario, invierà la notifica dell’OTP al reale possessore dell’area riservata che, se convinto dalla campagna criminale, inserirà in questa ulteriore schermata, dando di fatto tutti gli strumenti agli operatori di accedere al proprio conto corrente bancario.
Nonostante PSD2 e importanti normative sulla sicurezza delle informazioni finanziarie, con doppia autenticazione e verifica della clientela, i crimini di phishing continuano ad esistere e evolversi, perfezionando sempre le proprie tecniche di aggressione.
Non va sottovalutato il fenomeno del phishing in ambito bancario, il furto di credenziali come quelle di una utenza home banking, può causare perdite economiche dirette e, se regolate anche con doppia autenticazione, difficilmente perseguibili legalmente. Di fatto stiamo facendo scavalcare ai criminali, tutti i muri di protezione che le normative obbligano a mettere in atto, a tutela del consumatore.
Imparare a riconoscere le truffe di phishing, via SMS così come via email, è molto importante e risulta essere sempre più necessario: facciamo affidamento alle comunicazioni dirette con i consulenti da noi realmente noti (all’interno della relazione con la banca), evitiamo di dare seguito a comunicazioni non attese, soprattutto quelle con carattere di urgenza, controlliamo sempre il sito Web con il quale ci stiamo collegando (verificando l’indirizzo nel quale siamo atterrati), che deve riportare l’indirizzo ufficiale, già noto, del nostro istituto di credito. Se abbiamo una app ufficiale installata, prediligiamo quella per entrare di nostra iniziativa, all’interno dell’area riservata, per verificare che la comunicazione ricevuta sia realmente esistente.
