Aggiornamento del 09 giugno 2020
Questa notte ho ricevuto altre 10 mail di phishing “Rimborso COVID-19”.
Il dominio gruppobancobpm-id.com è stato cancellato e non risulta più essere “parcheggiato” sul registrar americano GoDaddy. I cyber-criminali hanno però provveduto subito a crearne uno nuovo ieri sera
L’amministratore del nuovo dominio, gruppobancobpm-clienti.com, questa volta ha effettuato la registrazione dallo Stato brasiliano di Rio Grande do Sul. I DNS puntano sull’hosting brasiliano UOL HOST.
Cliccando sul bottone “Inizia la verifica” presente all’interno della nuova mail si viene reindirizzati sul sito aggiornamento-sms.com, il nome del sito ci fa capire che vengono utilizzate due differenti tecniche di frode informatica utilizzando l’ingegneria sociale: Phishing e Smishing.
La data di registrazione del dominio è del 07 giugno ed è stata effettuata su Tucows, il secondo registrar più grande al mondo.
Ogni dato personale aggiunto nelle false aree riservate YouWeb e YouBusiness del Banco BPM, verrà inviato in remoto ai cyber-criminali.
Queste le reputazioni Virustotal:
gruppobancobpm-clienti.com 0 / 80
aggiornamento-sms.com 2 / 80
Invierò una nuova segnalazione a GoDaddy , Tucows e a UOL HOST
E’ in atto una massiccia campagna di phishing “Rimborso COVID-19” ai danni dei clienti del Banco BPM.
Nelle ultime ore è stato registrato il dominio gruppobancobpm-id.com sull’hosting americano GoDaddy Inc., l’intento dei cyber-criminali è quello di truffare i clienti del Banco BPM attraverso mail di phishing.
Il dominio è al momento “parcheggiato” (è un dominio registrato di secondo livello, ma che ancora non presenta alcuna homepage) sul registrar americano, come si può vedere dall’immagine.
Oggi ho ricevuto una mail di phishing dove mi viene comunicato, da parte del falso sito bancario, un fantomatico rimborso di 2.750 euro “…a causa della recente pandemia di COVID-19…”.
A parte il fatto di non essere un correntista BPM, e che quindi la cosa è già motivo per dubitare della veridicità del messaggio, quello che da subito salta all’occhio è il nome account del mittente e gli indirizzi URLs presenti all’interno del bottone “Inizia la verifica” palesemente falsi.
Come ho scritto in precedenza il nome del dominio è stato registrato oggi 08.06.2020 e, dopo un veloce controllo grazie ad uno dei tanti servizi whois presenti in internet, ho scoperto che l’amministratore del sito ha effettuato la registrazione dallo Stato di Cearà nel nord-est del Brasile.
Segnalerò subito il nome del dominio a GoDaddy nella speranza venga al più presto cancellato.
Come sempre, la raccomandazione che mi sento di farvi è quella di prestare la massima attenzione alle mail che ricevete, soprattutto quando il tema è quello di “facili rimborsi” o aggiornamenti dei vostri dati bancari, anagrafici.
Nessun Istituto Bancario chiederà mai informazioni personali attraverso mail o sms, nel caso utilizzerà la posta cartacea che al momento rimane il metodo più sicuro per comunicare con la propria clientela.