
Truffe Smishing in netta crescita nelle ultime settimane, questa volta il vero disastro ha investito proprio la banca Monte Paschi di Siena.
Ogni giorno ci arrivano decine di segnalazioni di questo tipo dai nostri clienti, ma da alcune settimane la quantità di avvisi ricevuti è triplicata (fonte SOC di Onorato Informatica).
È nostro dovere mettere in guardia tutti i clienti e anche le persone che seguono il nostro blog da questa minaccia in forte crescita. Il danno che deriva da un attacco Smishing è doppio: sia da un punto di vista della sicurezza dei vostri dati aziendali, sia dal lato della vostra brand image, qualora i vostri sistemi non fossero sufficientemente protetti e uno Smishing attack dovesse andare a buon esito, perdereste di credibilità.

Il sito di MPS colpito da Smishing
SMS inviati da MPS: si tratta di una truffa online
La scorsa settimana vi abbiamo parlato di un attacco Smishing a danno dell’istituto finanziario Nexi, questa volta invece la truffa via SMS riguarda il colosso bancario italiano per eccellenza: la banca Monte dei Paschi di Siena.
Anche se l’istituto di credito si è dichiarato del tutto estraneo alla situazione, molti clienti si sono accorti che qualcosa non andava e ci hanno contattato. La truffa in questione parte da un SMS che viene inviato sul telefono del malcapitato (purtroppo non esiste un obiettivo preciso, la campagna smish phishing colpisce chiunque). Il mittente sembra essere proprio MPS, ma non è così.
Ecco il messaggio testuale di SMS Phishing che alcuni dei nostri clienti (protetti dai nostri servizi di sicurezza informatica) hanno ricevuto:

La informiamo che per motivi di sicurezza le sue credenziali sono state bloccate. Per sbloccarle segua la procedura tramite link: …
Tutto lascia pensare che non ci siano pericoli.
Il messaggio è scritto in italiano corretto, il giusto tono formale in aggiunta, è stato inviato proprio da un mittente che si chiama BancaMPS e non da un numero qualsiasi.
Anche il link utilizzato sembra attendibile, ma non se confrontato con il dominio ufficiale della banca Monte dei Paschi di Siena.
Questo è il link della vera pagina web di MPS

Questo è il link inserito nel messaggio infetto da Smishing

I due link sono simili e possono trarre facilmente in inganno gli utenti, ma non il nostro SOC interno.
Per dimostrarvi che si tratta di una truffa Smishing procederemo come da manuale, staremo al gioco dell’hacker fino a fine attacco e vi dimostreremo che queste reti a strascico coinvolgono chiunque ci finisca nel mezzo: aziende e privati.
MPS sotto attacco Smishing: ecco il caso
Dopo aver ricevuto l’SMS sul nostro cellulare, clicchiamo direttamente il link e veniamo catapultati di tutta fretta su questa pagina web.
Prima di leggerne il contenuto fate attenzione all’uso dei colori e dello stile. Rispecchiano pienamente quelli utilizzati nel sito ufficiale della banca MPS.
Il messaggio che ci accoglie è il seguente:
Gentile Cliente,
Per motivi di sicurezza il tuo conto è stato temporaneamente disabilitato.
La sicurezza informatica è da sempre in cima alle priorità del Gruppo Monte dei Paschi di Siena. Monte dei Paschi di siena S.p.A sta adeguando i propri sistemi di sicurezza informatici conformemente alle indicazioni della Direttiva Europea Payement Services Directive (PSD2) in materia di operazioni online, per contrastare in modo ancora più efficace le frodi online.
Dunque, per ragioni di sicurezza, per poter utilizzare le piene funzionalità del suo conto a partire del 13/02/2020 sarà necessario completare questa procedura.

Non fatevi ingannare dalle parole, ci troviamo nel bel mezzo di un attacco informatico di SMS Phishing.
Le parole hanno il suo peso, mai come in questo caso. L’hacker cerca per quanto possibile di mettervi nelle condizioni di credere che sia tutto vero e che questo sia davvero il portale ufficiale di MPS.
In realtà MPS non è assolutamente a conoscenza del fatto che qualcuno abbia rubato la sua identità e il suo marchio per scopi illeciti.
Ma stiamo a vedere come continua l’attacco Smishing.

Anche in questo caso, l’hacker richiede una serie di dati per confermare la nostra identità.
- numero di telefono
- codice fiscale
- numero di carta di credito
- scadenza della carta
- CVV (ovvero le ultime 3 cifre che si trovano sul retro della nostra carta di credito)
- saldo disponibile
Pensate a quanto sia facile per un hacker mettere in piedi un attacco phishing. Basta aprire un portale web, creare un bell'”involucro“, sfruttare l’immagine di un brand noto e l’atto di acquisire i dati viene da sé: ci pensa l’utente medio a fornirli.
In questo caso abbiamo utilizzato una carta di credito temporanea (e fasulla) e inserito il resto dei dati inventandoli.

Una volta dato l’invio il sistema restituisce un messaggio di richiesta accolta con successo e dopo pochi secondi veniamo reindirizzati sul sito di MPS: questa volta sul vero sito.


L’attacco informatico di Smishing MPS si è concluso.
Se si fosse trattato di un vero utente, a quest’ora l’hacker avrebbe nelle sue mani un doppio tesoro: una grande quantità di dati personali da rivendere sul Deep Web e tutti i vostri dati bancari, grazie ai quali avrebbe effettuato un bonifico o un prelievo a suo carico.
A grandi linee possiamo dirvi che l’attacco di Smish Phishing si presenta come metodo alquanto insidioso da riconoscere e da debellare. Normalmente, se si fosse trattato di un e-mail, i sistemi anti spam l’avrebbero riconosciuta e subito rifiutata ma in questo caso il messaggio vi arriva tramite SMS: nessun allarme vi avvisa della pericolosità del contenuto.
Smishing: il mio antivirus identifica i domini di phishing?

Abbiamo effettuato un controllo sul dominio infetto da Smishing e dobbiamo dire che il nostro Security Operations Center è rimasto davvero sorpreso. Purtroppo, il dominio del sito clone di Banca MPS viene riconosciuto come attendibile e sicuro da pressoché tutti i più famosi antivirus in circolazione.
Un risultato davvero allarmante, ma non per i servizi di sicurezza informatica di Onorato Informatica che hanno riconosciuto in tempo l’attacco, segnalato a Monte dei Paschi che si è detta del tutto all’oscuro dell’accaduto e avvisato prontamente tutti i clienti.
Come riconoscere lo Smishing?
Come proteggere le aziende dall’SMS Phishing?
In che modo un imprenditore o un IT Manager può aiutare i propri colleghi a riconoscere una truffa Smishing: esistono delle regole anti smishing, per il resto serve la cyber security
Che si tratti di MPS, Unicredit, Nexi Italia, Poste Italiane o qualsiasi altro istituto di credito, sappiate che nessuno di loro cercherà di contattarvi tramite SMS. Queste realtà scelgono sempre canali di comunicazione con il cliente sicuri e nessun operatore vi chiederà mai dati sensibili quali: nome, password o numeri di carte di credito.
Quando ricevete un messaggio sul vostro smartphone di questo tipo eliminatelo immediatamente, o nel caso in cui aveste qualche dubbio contattate immediatamente il vostro fornitore di servizi di sicurezza informatica e chiedetegli come potete procedere per evitare di infettarvi.
Ricordatevi di non pubblicare mai i vostri recapiti di telefono sui social network e di prestare sempre la massima attenzione ai link contenuti nei messaggi. Ecco le prime regole anti smishing.
In questo caso, sarebbe bastato confrontare il link indicato nell’SMS di Smishing ricevuto con quello del sito originale di Banca MPS per constatare che si trattava di due link chiaramente diversi.
- Autore articolo
- Ultimi articoli
Difendo le imprese e semplifico la vita all’IT manager con un servizio di sicurezza informatica che garantisce le attività aziendali 24 ore su 24, 7 giorni su 7.
Sono l’interlocutore ideale per le aziende di produzione industriale con più di 50 dipendenti, con responsabile informatico interno e consapevoli che la sicurezza informatica sia un valore con cui tutelano i clienti.
La volontà di proteggere imprese, dati e persone, mi ha fatto fondare Onorato Informatica, azienda con più 15 anni di attività, oltre 4500 clienti e più un milione di attacchi informatici sventati.
La passione per il mio lavoro mi porta spesso ad essere chiamato come relatore in eventi formativi sul tema della sicurezza informatica presso associazioni di imprese, di professionisti e università.