Nella serata del 17 giugno un numero imprecisato di clienti di Mps hanno ricevuto una comunicazione della banca in cui venivano informati di una violazione dei dati personali, probabilmente avvenuta nelle 72 ore precedenti
Mps: “Un episodio che ha consentito a terzi non legittimati, a fronte dell’elevatissima numerosità di tentativi di intrusione tipica di questi attacchi, di verificare in alcuni casi se indirizzi email già in loro possesso fossero riconoscibili dai nostri sistemi”
Secondo Faggioli, non è da escludersi che gli indirizzi email oggetto dell’attacco possano essere utilizzati per effettuare campagne di phishing mirato o spearphishing: comunicazioni fraudolente con l’obiettivo di chiedere ai clienti i loro dati sensibili
Mps nel mirino degli hacker. Secondo quanto appreso da Il Sole 24 Ore che ha avuto modo di visionare un’email inoltrata a un numero indefinito di clienti coinvolti, la banca senese ha subito un attacco informatico che avrebbe consentito a terzi non autorizzati di verificare se indirizzi già in loro possesso fossero presenti nei sistemi dell’istituto. Una situazione che, in ottemperanza a quanto previsto dal Regolamento generale sulla protezione dei dati (Gdpr), ha spinto Montepaschi a inviare una comunicazione anche al Garante della privacy. Ecco cosa rischiano i clienti. E come proteggersi da questa tipologia di attacchi.
Attacco informatico a Mps: la vicenda
Nella serata del 17 giugno un numero imprecisato di clienti di Mps hanno ricevuto una comunicazione della banca in cui venivano informati di una violazione dei dati personali, probabilmente avvenuta nelle 72 ore precedenti se si considera che il Gdpr prevede che l’attaccato debba rendere noto l’attacco ai propri clienti “senza ingiustificato ritardo” e in ogni caso entro 72 ore. “Nei giorni scorsi la nostra banca è stata oggetto di un episodio che ha consentito a terzi non legittimati, a fronte dell’elevatissima numerosità di tentativi di intrusione tipica di questi attacchi, di verificare in alcuni casi se indirizzi email già in loro possesso fossero riconoscibili dai nostri sistemi”, si legge nella lettera. “Tale circostanza quindi, pur senza dare la possibilità di un effettivo accesso, ha determinato la conferma a terzi dell’esistenza della sua email nei nostri sistemi”. Dopo essere stato informato della vicenda, il Garante per la protezione dei dati personali ha a sua volta inoltrato ai soggetti interessati una comunicazione in cui confermava di non aver “registrato alcun accesso anomalo” ai loro rapporti con la banca e di aver “assunto le iniziative necessarie per continuare a monitorare l’evoluzione della situazione con grande attenzione e con l’obiettivo che quanto accaduto non si ripeta”.
Cosa rischiano i clienti e come proteggersi
Ciononostante, come spiega a We Wealth Gabriele Faggioli (responsabile scientifico dell’Osservatorio cybersecurity & data protection del Politecnico di Milano e presidente di Clusit, l’associazione italiana per la sicurezza informatica) non è da escludersi che gli indirizzi email oggetto dell’attacco possano essere utilizzati per effettuare campagne di phishing mirato o spear phishing: comunicazioni fraudolente molto simili nel layout a quelle inviate dalla stessa Mps e aventi l’obiettivo di chiedere ai clienti i loro dati sensibili, come le credenziali di accesso ai conti correnti. Il che, come consigliato anche dalla banca senese, suggerirebbe agli utenti coinvolti di modificare intanto il proprio indirizzo email nell’area personale. “D’altro canto, uno degli aspetti interessanti di questo evento, a quanto si apprende, è il fatto che i criminali fossero già a conoscenza degli indirizzi email e si siano limitati a testarne il riconoscimento da parte della banca”, osserva Faggioli. “Tale scenario sarà sempre più frequente in futuro, a causa della costituzione di enormi database di dati personali nel cosiddetto dark web per effetto dei data breach avvenuti negli anni passati”.
Se non si considera questo aspetto, racconta Faggioli, l’episodio ricorda incidenti simili capitati ad altri istituti bancari. Uno su tutti quello annunciato da Unicredit nel 2018. “In quella circostanza, la banca aveva dichiarato pubblicamente il proprio impegno a comunicare l’incidente a tutti i clienti coinvolti, esclusivamente tramite posta tradizionale e/o notifiche via online banking. Pratica ormai adottata dalla maggior parte delle banche a tutela dei propri clienti, proprio per proteggerli dal rischio di attacchi di phishing”, aggiunge l’esperto. “In attesa di conoscere nuovi dettagli in merito a quanto accaduto, si può notare – ancora una volta – che anche le aziende più mature dal punto di vista della sicurezza informatica possano essere colpite da attacchi per cui è fondamentale non solo prevenire ma anche rispondere a questo tipo di eventi in maniera tempestiva ed efficace”. E l’accesso da parte dei cyber criminali agli indirizzi email dei clienti per poi avviare successive campagne di phishing, conclude Faggioli, è solo “l’ennesima prova di quanto bisogna investire in sensibilizzazione sulle tematiche relative alla social engineering” (termine con il quale nella sicurezza informatica si indica lo studio del comportamento di una persona per carpirne informazioni utili come password o dati bancari, ndr).
Altre banche italiane nel mirino degli hacker
Ma Rocca Salimbeni non è l’unica a essere finita sotto la lente dei pirati informatici. Secondo una recente analisi a cura di Pier Luigi Rotondo di Ibm inclusa nell’ultimo rapporto Clusit sulla sicurezza informatica, istituzioni bancarie e assicurative hanno attirato lo scorso anno il 23% di tutti gli attacchi hacker registrati. Nel caso del phishing (truffa attraverso la quale si cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso, ndr) si parla di una media di 4,3 nuove pagine di phishing al giorno attivate e perfettamente funzionanti, con un boom nei primi cinque mesi del 2021. I brand più frequentemente colpiti sono in questo caso Intesa Sanpaolo (32% delle campagne analizzate), Poste Italiane (14%), Unicredit (13%), Bper (9%), Banca Ing e Banca Mps (entrambi al 7%) e Nexi (5%).