Attenzione: SMS phishing bancario con sito Web dotato di certificato di autenticità
In queste ore potreste ricevere un SMS da CheBanca! che avverte dell’avvenuto blocco delle funzionalità del conto corrente per ragioni di sicurezza, e invita a cliccare un link che rimanda ad una pagina Web. Si tratta di phishing, una frode comune che però in questo caso ha fatto un salto di qualità notevole.
Infatti l’URL del sito Web https://chebancasicurezzaweb.com può confondere, ma soprattutto il pirata informatico dietro questa truffa ha ottenuto un certificato di sicurezza HTTPS che contribuisce a rendere credibile la pagina.
In questi casi, valgono i consigli di sempre: accedere alla propria Banca online dal link salvato su Safari o il browser preferito, eventualmente utilizzare l’app ufficiale per iPhone o Android.
Per chi vuole fare verifiche più accurate, cliccando sull’icona del lucchetto che si trova a sinistra del nome si apre una schermata di dialogo, click su “Mostra certificato”, nella sezione “Dettagli” trovate i dati dell’azienda o persona che ha richiesto il certificato.
Il certificato del sito Web ufficiale di chebanca.it
Il certificato del sito truffa chebancasicurezzaweb.com che tra l’altro ha una validità di appena di trenta giorni.
5 commenti
A parte il fatto che non mi verrebbe mai in mente di cliccare sui link, neanche se fosse la banca vera, ma ora non possiamo fidarci neanche dell’autenticità del lucchetto? Io non ho questo tipo di istituto bancario, ma se per curiosità digito che banca in Safari, c’è il rischio che tra le ricerche google possa saltare fuori un sito non ufficiale dell’istituto? Stiamo apposto.
Questo genere di siti truffa non appare nelle ricerche Google o di qualsiasi altro motore di ricerca, ci mancherebbe 😉
Meno male. Grazie
Ciao Stefano,
confermo quanto detto, ricevuto sia da CheBanca! che da Intesa San Paolo (sono correntista in entrambe le banche).
Ovviamente cestinati gli SMS ma ad un utente un po’ meno accorto potrebbero trarre in inganno, specialmente perché gli SMS di ISP arrivano dal mittente “GruppoISP” contro gli originali “Gruppo ISP”.
A me è successo su un sito (che poi ho scoperto essere cipriota, turco o qualcosa di simile) per il rilascio di un certificato: stavo parlando con mio padre quindi non avevo il massimo dell’attenzione, però mi sono fidato dell’https. Morale della favola il sito era truffaldino, ho speso 3,9€ per un certificato mai spedito, ho fatto – a mia insaputa – un abbonamento non richiesto e ho “bruciato” una PostePay che ho dovuto sostituire il giorno dopo. Da allora sul web non mi fido nemmeno del sito della santissima trinità.