Nuova truffa smishing ai clienti di Banco BPM. SMS e pagina falsa, scoperta dal ricercatore di cybersecurity illegalFawn

Nuovo tentativo di smishing ai danni dei clienti di Banco BPM in Italia. L’esca è un messaggio con la richiesta di presunta verifica del proprio account. Il link all’interno del messaggio punta a una falsa pagina login della banca, scoperta dal ricercatore di cybersecurity illegalFawn. Qui, inizialmente, viene chiesto di inserire il codice utente e il pin.

Concluso il passaggio, bisogna digitare i dati personali, il numero di cellulare e il codice fiscale.

Infine, apparirà una schermata dove comunicare il codice OTP, che in teoria è stato inviato al numero di telefono selezionato.

In realtà, qualunque combinazione risulterà errata e l’utente sarà rimandata a questa pagina.

Obiettivo: rubare le credenziali di accesso al conto corrente e i dati personali. Peraltro, grazie al codice fiscale, il gruppo del cybercrime dietro all’operazione sarà anche in grado di risalire alla data di nascita della vittima.

L’attacco via SMS prende di mira espressamente l’Italia ed è stato creato appositamente per i dispositivi mobile. Funziona, però, anche sui computer

La trappola sul Banco BPM funziona anche sui computer, ma è stata studiata espressamente per i dispositivi mobile. Le pagine, infatti, appaiono diverse e più credibili se viste su smartphone e tablet. Inoltre, il testo è in italiano, segno che i bersagli del cybercrime sono utenti nel nostro paese. Il tema “Banking”, peraltro, continua a essere il più usato per le campagne phishing e smishing.