Il nucleo operativo della Polizia Postale informa gli utenti del gruppo Intesa Sanpaolo di una truffa via email che sta circolando in Italia. Mette tutti in allarme per il fatto di comunicare il blocco dei prelievi e delle carte. Non si possono ritirare i soldi allo sportello e neanche completare acquisti online. Ci sarà del vero? Vediamo cosa abbiamo scoperto e come limitare i danni.
Truffa Intesa Sanpaolo: occhio al messaggio
Dopo Unicredit e BNL ora tocca anche ai clienti Sanpaolo. Siamo alle prese con l’ennesimo raggiro ben studiato. Si fa leva sulla paura che conti, carte di credito e prepagate possano essere bloccate a causa di inesattezze sui dati personali indicati all’istituto. Il messaggio che informa dell’avvenuto blocco è il seguente.
“Gentile XXXXXX,
l’ultimo controllo di sicurezza ha concluso che il tuo account ha alcune attività insolite, pertanto abbiamo limitato alcune funzioni come (pagamenti online, trasferimenti bancari e prelievi di denaro). Effettua il login al tuo account ed esegui i semplici passaggi per ripristinare completamente le funzioni del tuo account Si prega di confermare la propria identità attraverso il nostro collegamento sicuro”
Diamo un fugace sguardo e constatiamo la discutibile forma grammaticale che nonostante la presunta veridicità della fonte riporta chiari errori sintattici. Si tratta di un phishing? Ovviamente sì, ma non ce ne accorgiamo subito. Ne abbiamo la certezza aprendo il link fasullo che si trova in calce al testo (NON apritelo per nessuna ragione).
Accedendo al sito indicato si entra nel circolo vizioso del pharming, termine usato per indicare la copia esatta di un sito legittimo. Si passa dalla mail a Internet dove un form ci accompagna nell’indicazione dei nuovi estremi. La banca non ha nulla a che vedere con questo nonostante loghi, ragione sociale e indicazioni del copyright facciamo pensare diversamente.
Compilando il modulo si finisce col fornire username, password e dati personali che gli hacker useranno per prelevare ed acquistare negli store online. Non dobbiamo prendere in considerazione questa comunicazione.
La banca non usa le email per comunicare variazioni sui dati o codici IBAN. Usa invece le sue app ed un sistema certificato di notifica che passa per il sito e l’autenticazione (anche a due fattori se disponibile).
Anche questo 2019 si apre nel peggiore dei modi, dopo un report di sicurezza 2018 che ha concesso la medaglia d’oro agli hacker per il numero di attacchi portati a termine. Facciamo molta attenzione.