Banca online: nuova ondata di SMS pericolosi
Con un messaggio ben scritto ed un link accorciato i cyber criminali stanno di nuovo provando a violare migliaia di conti correnti: ecco come difendersi
A volte ritornano: è in corso in questi giorni una nuova campagna di phishing bancario, con l’invio di pericolosi SMS tramite i quali i truffatori provano a sottrarre le coordinate del conto corrente bancario a migliaia di cittadini italiani. Lo fanno spacciandosi per le banche e inviando un messaggio contenente un link. Le banche sono totalmente estranee a tutto ciò e, anzi, negli ultimi mesi hanno puntato parecchio su quella che sembra l’unica arma contro queste minacce online: l’informazione del cliente.
SMS truffa: cosa dicono
Il testo dell’SMS tramite cui i criminali informatici provano a rubare nome utente e password, per accedere ai conti correnti delle vittime, è scritto in buon italiano e risulta molto efficace, salvo errori impercettibili di grammatica.
Abbiamo avuto modo di leggere uno di questi SMS, inviato ai clienti di banca Widiba, che recita così: “Accesso al cono da un nuovo dispositivo con i suoi codici se non e stato lei richieda subito assistenza compilando il form“. Segue un link accorciato e, se lo avete notato, ha un solo errore: la “è” senza accento.
Ma il messaggio sembra provenire dalla banca, perché viene simulato il numero di telefono dell’assistenza dell’istituto di credito, e il link termina con “Widibaweb” o con “ClientiWidiba“, ma lo stesso testo con un link diverso è usato anche per SMS inviati ai clienti di altre banche.
Insomma, la truffa è ben fatta, è lecito essere tentati a fare tap su quel link. Ma è la cosa più sbagliata di tutte.
Che succede seguendo il link
Se l’utente che ha ricevuto l’SMS fa tap su quel link, allora viene portato ad una pagina Web che imita graficamente il sito ufficiale della banca. Su questa pagina c’è un form, un modulo da compilare con i dati che gli hacker vogliono rubare: nome, cognome, numero di telefono associato al conto, nome utente e password per l’accesso.
Con nome utente e password è già possibile fare piccoli bonifici dal conto hackerato a conti esteri. Il numero di telefono può essere hackerato anch’esso: si chiama “SIM Swap” ed è qualcosa di molto pericoloso, perché permette agli hacker di prendere il controllo totale del conto corrente.
Da gennaio di quest’anno, infatti, è attiva la cosiddetta “Strong Customer Authentication” (SCA), ovvero l’autenticazione “forte” dell’utente bancario che passa attraverso un dispositivo mobile. Di solito lo smartphone, identificato attraverso il numero di telefono (perché tutti, prima o poi, cambiamo telefono anche senza aver cambiato numero).
Nella pratica la SCA consiste anche nell’inviare dei codici al numero di telefono associato al conto, per autorizzare pagamenti e movimenti di denaro. Se i cyber criminali hanno il numero di telefono, e riescono a violarlo, possono fare ciò che vogliono con i nostri soldi.
Phishing: le banche fanno informazione
E’ chiaro, dunque, che mai e poi mai dovremmo seguire quel link all’interno dell’SMS truffaldino. Basta non seguirlo e ignorare il messaggio per restare al sicuro. Basta un po’ di informazione per saperlo.
Ed è proprio ciò su cui stanno puntando tutti gli istituti bancari negli ultimi mesi: sono in corso poderose campagne informative indirizzate ai clienti, tramite le quali si prova a spiegare come difendersi dalle principali minacce online. Il primo suggerimento è sempre lo stesso: se il messaggio contiene un link, allora ignoralo.
