Phishing, nuovo attacco ai clienti di Poste. Un sms prova a carpire dati riservati

Share

La truffa parte da un messaggio fake che sembra inviato dalla stessa società. Invita i clienti ad aggiornare i propri dati “al nuovo sistema Psd 2”, ma le banche non chiedono mai ai clienti di fornire questi dati

Questa immagine ha l'attributo alt vuoto; il nome del file è phishing.jpg

Arriva un sms sul cellulare, che sembra arrivare da Poste Italiane. Il messaggio chiede di aggiornare i dati “al nuovo sistema Psd2” per evitare il “blocco delle utenze postali”. Una minaccia talmente vaga che può mettere in allarme sia i clienti dell’azienda sia i semplici cittadini che dalle Poste ricevono ogni giorno lettere e pacchi. Il link conduce a una pagina web che sembra, al di fuori del link, quella di Poste Italiane. Con contatti e numero di partita Iva in fondo alla pagina.

L’obiettivo è quello di ottenere il numero della carta del cliente e l’autorizzazione a operare online per suo conto. Una volta ottenuto il numero di telefono, infatti, il sistema chiede al cliente di inserire il codice di sicurezza (l’Otp, One time password) che ha appena ricevuto sul suo telefono. Si tratta di una recente campagna di “smishing“, che prende di mira i clienti di Poste Italiane (ma che in teoria potrebbe colpire clienti anche di altri servizi). Lo scorso 19 novembre il sito è stato disinnescato dalla centrale antiphishing di Poste Italiane. Secondo le verifiche fatte da Repubblica, il dominio del sito di phishing risultava registrato da poche settimane. Una new entry, quindi, che però nel breve periodo di attività potrebbe aver truffato qualcuno.

Lo smishing è un tentativo di phishing che parte da un sms anziché da una e-mail. È un metodo insidioso perché, mentre la maggior parte dei servizi di posta elettronica bloccano o segnalano i tentativi di phishing, in questo caso il messaggio arriva sul telefono senza che si attivi alcun campanello di allarme. Non solo: il link al sito sicurezza-clienti.com viene inviato in modo tale che il mittente sembri Poste Italiane stessa. Chi ha già ricevuto sms da Poste Italiane, ad esempio per la notifica di una consegna, troverà il messaggio truffaldino nella stessa conversazione. La società, che ben conosce il fenomeno, mette regolarmente in allerta i clientie ha fatto sapere a Repubblica di aver ricevuto “diverse segnalazioni” da clienti che hanno subìto il tentativo di frode.

Tra i lettori che hanno scritto a Repubblica, un caso risulta particolarmente inquietante. Una lettrice infatti non è cliente di Poste ma, il giorno stesso in cui ha ricevuto l’sms, aveva fornito il proprio numero di telefono a un ufficio postale per poter attivare lo Spid. Da alcune verifiche effettuate attraverso il call center di Poste Italiane, sembra proprio che si tratti di una casualità (per quanto inquietante). È probabile infatti che chi ha perpetrato la truffa avesse già ottenuto il numero di telefono, magari tra i molti “leak” di dati online, sempre più frequenti.

Da quando è stata approvata, la direttiva Psd2, che ha rivoluzionato il mondo dell’home banking introducendo nuove procedure di sicurezza quasi sempre via smartphone, piccoli e grandi criminali informatici hanno intuito l’opportunità, approfittando dell’inevitabile confusione dovuta al cambiamento epocale appena avvenuto. E così fioccano sms ed email in cui si chiede ai clienti, già di per sé frastornati, di aggiornare i propri dati per ottemperare alla direttiva europea.

Circostanza confermata anche da Poste Italiane. Secondo quanto ha spiegato l’azienda a Repubblica infatti “l’evento relativo alla scadenza dei dettami della normativa Psd 2 ha sicuramente fornito lo spunto per una serie di messaggi di smishing che – alla luce della nostra analisi antifrode – si presentano simili o comunque legati ad una proposta commerciale particolarmente vantaggiosa al termine della quale il phisher proponeva di accedere al link che conduce al sito fraudolento che avrebbe invitato i clienti a rilasciare i propri dati bancari riservati o i dati sensibili”.

Repubblica.it

Share
Share