Banco BPM: pericolosa truffa via SMS

Un nuovo tentativo di phishing da parte dei cyber criminali ha preso di mira il famoso gruppo bancario “Banco BPM“, nato dalla fusione di Banca Popolare di Milano e Banco Popolare. Vi racconterò l’accaduto in prima persona in quanto soggetto del tentativo di truffa e, colgo l’occasione, per mostrare alcuni accorgimenti che si possono prendere per capire ed evitare queste situazioni

Primo contatto

Tutto ha inizio con il primo contatto da parte del cyber criminale, nel mio caso con la ricezione di un SMS come questo

Gentile Cliente, la informiamo che nella giornata odierna e stato effettuato un accesso anomalo Accedi Ora

Inizialmente noto come il mittente dell’ SMS sia Banco-BPM anche se non ho nessun contatto in rubrica salvato con tale nominativo (dettaglio non trascurabile) e, subito sotto il testo del messaggio messaggio, viene indicato un link cliccabile. Partendo dal presupposto che una banca non vi manderebbe mai un messaggio del genere ma, se avvenisse una violazione del genere vi contatterebbe telefonicamente, già qualche sospetto che fosse una truffa inizia a prender piede nella mia mente

Analisi del link

Prima di pensare ad aprire link di questo tipo è necessario effettuare una veloce analisi dell’URL; salta subito all’occhio che non sembra un semplice link (come www.bancobpm.it o simili) e anzi, che non ci sia alcun riferimento a bancobpm.it (se non un banale “bmp-” all’inizio) che è il dominio ufficiale della banca Banco BPM (facilmente confermabile cercando “Banco BPM” su un motore di ricerca come Google). In una situazione “normale” già queste informazioni sono più che sufficienti per capire che sicuramente si tratta di un tentativo di truffa ma, per mostrarvi la pericolosità di queste situazioni procederò ad analisi un po’ più approfondite.

Verificate queste informazioni, il consiglio è di fermarsi e telefonare alla banca raccontando l’accaduto verificando che, in ogni caso, non sia stato compromesso l’accesso al conto corrente.

Analisi del dominio

Per continuare le analisi decido di verificare il dominio principale del link (000webhostapp.com) e, come si evince dall’immagine, anche qui non vi è alcun riferimento a Banco BPM o bancobpm.it

Situazione ben differente se eseguo la stessa analisi sul dominio bancobpm.it (dominio principale di youweb.bancobpm.it)

Ulteriore conferma del fatto che il link inviatomi tramite SMS non sia in alcun modo legato a Banco BPM

Link al sito truffa per sottrarre i nostri dati

Passiamo ora direttamente al link che provvedo ad aprire in una Sandbox.

Nel caso in cui non sappiate come prendere le dovute precauzioni è tassativamente scongliato aprire questi link anzi, per qualsiasi dubbio telefonate direttamente alla banca per chiedere spiegazioni al riguardo

Il sito si presenta subito fatto molto bene a livello grafico ed estramente simile a quello originale (titolo “Youweb” e stessa favicon), il che mi fa capire che è frutto di un lungo e minuzioso lavoro; non solo… hanno anche utilizzato un certificato SSL valido in modo che a fianco all’ URL non compaia la tremenda scritta “Non sicuro”.

Vi mostro ora il sito web originale per le operazioni bancarie di Banco BPM, per farvi comprendere meglio le similitudini tra i due siti

Paragonandoli si nota come nel titolo del sito originale “Youweb full”, non sia presente il messaggio di allerta in rosso “ALERT SICUREZZA ACCESSO INTERNET BANKING”, il link per l’ “Accesso Easy” e soprattutto come nei campi da compilare con i propri dati accesso non sia presente il campo “Numero di telefono” e altri piccoli dettagli come il font diverso nel footer etc.

Conclusioni

Nel caso in cui aveste anche solo un dubbio riguardo il primo contatto, rimarco il consiglio di NON aprire assolutamente il link e di telefonare direttamente alla vostra banca

Spero che le varie analisi e suggerimenti possano aiutare coloro che non hanno dimestichezza con l’informatica ma che, ricevendo un SMS o un’email di questo tipo, possano (in preda al panico) essere vittime inconsapevoli dei cyber criminali; soggetti subito pronti ad approfittarsi a scopo di lucro degli stati emotivi che possono scaturire da queste situazioni.