Aggiornamento 25-1-2022: Da un confronto con Monte dei Paschi di Siena l’attività di smishing descritta risulta meno estesa di quanto riportato e senza impatti sulla clientela.
L’ingegneria cybercriminale continua ad avanzare realizzando sempre nuove strategie per centrare l’obiettivo. Infatti, un nuovo SMS smishing starebbe mietendo vittime che si ritrovano. Il messaggio sembra proprio essere stato inviato dalla famosa banca Monte Paschi di Siena. Questa volta però non si tratta del solito alert del conto bloccato o dell’accesso anomalo all’Home Banking. L’attacco è così sottile e pericoloso che tutti potrebbero cadere nella trappola.
Monte Paschi: la truffa smishing si evolve
In sostanza, la classica truffa smishing si è evoluta raggiungendo un livello di pericolosità ancora più elevato. Tutti noi effettuiamo acquisti online o paghiamo nei negozi fisici tramite carta di credito o bancomat. Molte banche, come Monte Paschi, inviano sempre un SMS per notificare la richiesta di acquisto.
Immaginate di ricevere sul vostro smartphone un messaggio di testo da parte del vostro istituto di credito che vi conferma un acquisto, ma voi siete comodamente seduti sul divano di casa o al lavoro. Se nessuno della vostra famiglia ha operato con il conto corrente è normale preoccuparsi.
Questo è, in pratica, ciò che succede quando si riceve il nuovo SMS smishing firmato Monte Paschi. È evidente che non c’è la banca dietro questo messaggio, ma i cybercriminali lo hanno realizzato così bene che sembra proprio un alert ufficiale. Identico a quelli inviati dall’istituto di credito, ecco il testo di questa nuova truffa:
SISTEMA IO SICURO
Il suo acquisto online di EUR 359,99 è stato confermato. Se disconosce seguire il link correlato: […].
Se l’utente clicca sul link viene rimandato a una pagina fake identica a quella di accesso all’area riservata di Monte Paschi. Una volta che la vittima inserisce i suoi dati personali, comprese le credenziali di accesso, una notifica compare sulla schermata avvisando:
Si è verificato un errore durante la procedura di aggiornamento. Un operatore la contatterà per eseguire l’operazione manualmente.
Chiamata o non chiamata, a seconda sia necessario un ulteriore codice di accesso per forzare il conto corrente online del povero malcapitato, i cybercriminali trasferiranno il denaro su dei conti offshore.