BNL Gruppo BNP Paribas, uno dei maggiori gruppi bancari presenti in Italia, ha in queste settimane lanciato l’ennesimo allarme sulle e-mail di phishing indirizzate ai propri clienti. Ignoti cyber-criminali hanno infatti imbastito una nuova campagna pensata per rubare le credenziali di accesso ai servizi di e-banking del colosso del credito, un rischio potenzialmente molto grave per i soldi degli utenti così come per la sicurezza complessiva della piattaforma.
Il modus operandi dei criminali è da manuale del phishing, con una tecnica che prevede l’utilizzo di una pagina Web contraffatta più o meno simile all’originale di BNL ma gestita su server esterni controllati da terzi: i messaggi di posta invitano gli utenti a collegarsi alla pagina fasulla, così da sottoporsi a una presunta “procedura di rinnovo” per un account inattivo a rischio chiusura entro pochi giorni.
L’obiettivo della crew criminale è ovviamente la raccolta – anche “a strascico” – delle credenziali di accesso, caselle di posta elettronica, password “one-time” (usate dagli istituti bancari per la conferma delle operazioni di e-banking come meccanismo di autenticazione a doppio fattore), password e persino i dati sulle carte di credito eventualmente a disposizione delle vittime.
Come ha sottolineato in via ufficiale il gruppo BNL BNP Paribas, gli utenti farebbero bene a non dare alcun credito a questo genere di messaggi via posta elettronica: la banca non invia mai mail chiedendo di inserire nome utente e password, e in nessun caso la piattaforma “dimentica” le credenziali utili ad accedere all’area clienti per le operazioni di home banking.
Spesso i casi di phishing più recenti risultano “aumentati” tramite l’utilizzo di canali di attacco aggiuntivi, ha spiegato ancora BNL, ricorrendo ad esempio all’invio di messaggi testuali sullo smartphone (SMS) con l’invito a visitare un link (URL) della pagina Web fasulla.
Anche la messaggistica istantanea di WhatsApp è entrata nel circuito delle truffe finanziarie, con i criminali che si spacciano per falsi addetti all’assistenza della banca e contattano le vittime (chiedendo la comunicazione dei codici di autenticazione aggiuntivi) dopo che queste hanno superato il “primo stadio” delle pagine Web contraffatte.
Come difendersi dal phishing avanzato che prende di mira gli account bancari? Per evitare di vedersi prosciugare tutto il denaro dal conto, il gruppo BNP Paribas fornisce alcuni consigli di opsec dalla valenza universale: l’accesso al sito ufficiale della banca andrebbe sempre effettuato tramite la digitazione manuale dell’URL corrispondente (www.bnl.it nel caso in oggetto), i codici di controllo “one-time” vengono richiesti (e vanno quindi comunicati) solo ed esclusivamente durante la conferma delle operazioni dispositive, la modifica dei dati anagrafici non è mai richiesta via e-mail e va quindi effettuata solo dalla pagina corrispondente sul sito ufficiale.