“La trappola, stavolta, è stata confezionata su misura per i clienti della storica Banca Nazionale del Lavoro (dal 2006 sotto il controllo del gruppo francese BNP Paribas) e quindi il problema riguarda potenzialmente due milioni e mezzo di clienti privati, 130.000 tra piccole imprese e professionisti ed oltre 33.000 tra aziende ed enti”. A scriverlo è Umberto Rapetto, storico esperto di cybersecurity, su Infosecs.news.
come funziona la frode
Rapetto spiega come si svolge il nuovo caso di phishing: “In questi giorni un sms o un messaggio di posta elettronica raggiunge i correntisti: contiene l’invito ad aggiornare la propria scheda anagrafica e l’anticipazione di una chiamata del servizio di assistenza ai clienti mirato a confermare che la compilazione dei propri dati è andata a buono fine.” La comunicazione sollecita il potenziale cliente (non è detto che arrivi solo a chi davvero ha rapporti creditizi con BNL) a collegarsi via internet ad un sito dal plausibile nome “lamiaanagrafica.com” che sembra corrispondere ad un sito web creato appositamente dalla banca con l’obiettivo di gestire i dati personali degli utenti dei propri servizi.
Il sito falso
Si arriva in una pagina web sul cui sfondo c’è il logo di Bnl, e un aspetto grafico in tutto e per tutto simile al sito ufficiale. Vengono chiesti il “numero cliente” e il codice “Pin” per accedere ai servizi. Ma i dati inseriti finiscono nelle mani degli hacker. “Come preannunciato dall’sms o dalla mail – continua Rapetto – il cliente Bnl (che ha naturalmente inserito i propri recapiti) riceve la telefonata dal sedicente Servizio Assistenza. L’operatore con suadente gentilezza, dopo essersi presentato con nome e cognome (ovviamente fasulli ma al contempo rassicuranti), chiede conferma di alcuni dati e si premura di invitare l’utente a rispondere ai quesiti sulla “customer satisfaction” che intendono rilevare il grado di soddisfazione dei servizi offerti e il livello di professionalità dell’interlocutore che ha chiamato”.
La telefonata
A questo punto partono i prelievi di denaro dal conto del malcapitato. Come è possibile? “L’esecuzione di un bonifico e di qualunque variazione (ad esempio quella del numero di cellulare su cui inviare notifiche e informazioni per la validazione delle operazioni richieste) richiede la conoscenza di un codice che viene spedito via SMS al cliente. E quindi ecco scattare la seconda parte dell’inganno. Il solerte “operatore”, che poco prima aveva chiesto le varie conferme, ritelefona al cliente e gli dice che il sistema ha registrato regolarmente gli aggiornamenti anagrafici e “dovrebbe” aver mandato un codice sul telefonino”. L’utente conferma di aver ricevuto il codice e – in condizioni pressoché ipnotiche – lo rivela al misterioso soggetto all’altro capo del telefono. A quel punto, l’unico rimedio è bloccare il conto per evitare ulteriori tentativi di furto, e denunciare il tutto alle forze dell’ordine.