SIENA. L’ennesima truffa ai danni dei clienti delle banche arriva direttamente via SMS. L’ultima, almeno in ordine cronologico, prende di mira i correntisti di Banca MPS che si vedono raggiungere da un messaggino, mittente “Banca MPS”, che informa di una autorizzazione di spesa per oltre 250€ appena effettuata. Segue un link da cliccare per verificare i dettagli della transazione, ovviamente mai autorizzata.
Tecnicamente, è possibile inviare messaggi SMS impostando un mittente a piacimento. Chiaramente, serve la compiacenza dell’operatore: non è difficile trovarne, soprattutto nei mercati emergenti e meno regolamentati. Il truffatore deve anche conoscere i numeri di telefono a cui inviare gli SMS di attacco. Qui, le fonti possono essere numerose e non sarebbe probabilmente del tutto sbagliato ipotizzare che il pesante “leak” di Facebook scoperto qualche mese addietro (35 milioni di utenti italiani, con relativi numeri di cellulare) possa essere una di queste.
Comunque sia, arriva l’SMS. Arriverà a migliaia di utenti, tra cui sicuramente ci sarà qualche cliente di Banca MPS. Che probabilmente, sorpreso e spaventato da questa comunicazione che sembra autorevole e proveniente dalla Banca, clicca sul link. Operazione velocissima, pochi millisecondi, per aprire il browser Internet con destinazione https://mpsopen[.]me/accedi/, dominio registrato da ignoti (islandesi?) il 13 maggio 2021 sul provider americano NameCheap.
L’URL rimanda a un server localizzato a Los Angeles (server53-1.web-hosting.com), sempre di NameCheap, e la pagina web ricalca in (quasi) tutto quella dell’home banking di Banca MPS.
“Quasi” perché, anche se l’aspetto grafico è identico (ma l’URL no!), il codice HTML della stessa riserva una amara sorpresa per chi non si accorge in tempo della truffa: tutti i dati inseriti -username, password e codice SMS di conferma- sono inviati a uno script “push.php”, ospitato sempre sul medesimo sito, che presumibilmente si preoccuperà di comunicarli al truffatore per offrirgli l’accesso al conto corrente del malcapitato.
Questa volta, ovviamente, usando la vera piattaforma dell’Home Banking di Banca MPS.
Nel malaugurato caso siate caduti nella truffa, inserendo i vostri dati di accesso, consiglio di procedere immediatamente al blocco del conto corrente e prendete nota di ogni movimento anomalo. Inoltre, recatevi nel minor tempo possibile presso le Autorità (https://www.
Per difendersi, è sempre buona norma:
-
non cliccare mai sui link ricevuti via mail e/o SMS;
-
verificare sempre molto attentamente l’URL di destinazione: talvolta le differenze con quello “ufficiale” sono minime!
-
non lasciarsi prendere dal panico (che è esattamente ciò che il truffatore vuole) ma fermarsi a riflettere;
-
in caso di dubbio, prima di effettuare qualsiasi operazione, contattare la banca per verificare la liceità della comunicazione;
Stay safe!
Michele Pinassi
www.zerozone.it