Consorzio Metis

CSIRT Toscana

CSIRT Toscana

Phishing: campagna a tema “Banco BPM” (AL02/260116/CSIRT-ITA)

Data:
16 Gennaio 2026

Sintesi

Questo CSIRT ha recentemente rilevato una campagna di phishing volta a carpire le credenziali di accesso agli account Banco BPM delle potenziali vittime.

Descrizione e potenziali impatti

Questo CSIRT ha recentemente rilevato una campagna di phishing volta a carpire le credenziali di accesso agli account Banco BPM delle potenziali vittime.

La campagna, veicolata tramite mail, informa le potenziali vittime della necessità di attivare un dispositivo per la sicurezza delle transazioni e invita le stesse a cliccare su un link al fine di attivarlo (Figura 1).

Figura 1 - Mail di phishing
Figura 1 – Mail di phishing

Il link presente nella mail reindirizza l’utente verso un portale opportunamente predisposto dove si presenta un form di autenticazione, simile a quello del portale ufficiale di Banco BPM, nel quale viene richiesto l’inserimento delle credenziali per l’accesso al proprio account: codice identificativo e password (Figura 2).

Figura 2 - Landing page di phishing
Figura 2 – Landing page di phishing

Qualora l’utente proceda inserendo le credenziali, viene visualizzato un messaggio che lo invita ad attendere durante il processo di verifica delle informazioni (Figura 3).

Figura 3 – Verifica informazioni
Figura 3 – Verifica informazioni

Azioni di mitigazione

Gli utenti e le organizzazioni possono far fronte a questa tipologia di attacchi verificando scrupolosamente le e-mail ricevute e attivando le seguenti misure aggiuntive:

  • fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing diffidando da comunicazioni inattese;
  • verificare il dominio delle e-mail ricevute: eventuali mail legittime provengono dai domini ufficiali;
  • non accedere a collegamenti internet o a relativi contenuti esterni se non si è certi dell’affidabilità della risorsa;
  • accertarsi della legittimità dei siti che richiedono l’inserimento dei propri dati personali.

Infine, si raccomanda di valutare la verifica e l’implementazione – sui propri apparati di sicurezza – degli Indicatori di Compromissione (IoC)[1] forniti nell’apposita sezione.

[1] Per definizione, non tutti gli indicatori di compromissione sono malevoli. Questo CSIRT non ha alcuna responsabilità per l’attuazione di eventuali azioni proattive (es. inserimento degli IoC in blocklist) relative agli indicatori forniti. Le informazioni contenute in questo documento rappresentano la migliore comprensione della minaccia al momento del rilascio.

Indicatori di compromissione

Tipologia Indicatore
domain 2d50f7fc16.nxcli.io
url https://2d50f7fc16.nxcli.io/op/rot/QKthfj.php?verification
email-src postmaster@99413fa338.nxcli.io

Change log

Versione Note Data
1.0 Pubblicato il 16-01-2026 16/01/2026

Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link

Ultimo aggiornamento

16 Gennaio 2026, 11:34