L’attacco hacking a Revolut condotto nella nottata di domenica ha permesso agli attaccanti di accedere alle informazioni sensibili di circa 50mila clienti dell’app fintech. È stata la stessa azienda a rilasciare una dichiarazione al proposito, a BleepingComputer, affermando che soltanto lo 0,16% della propria clientela sarebbe stata oggetto dell’attacco, per un periodo di tempo limitato.

A precisare il dato dopo la divulgazione della violazione è stato l’Ispettorato statale per la protezione dei dati in Lituania, il Paese in cui Revolut ha ottenuto una licenza bancaria, indicando in 50.150 il numero esatto dei clienti che sono stati colpiti dai pirati informatici. Di essi, 20.687 sarebbero residenti SEPA (Single Euro Payments Area), mentre appena 379 cittadini lituani sarebbero potenzialmente colpiti dall’evento. Almeno al momento non sarebbe coinvolto alcun cliente italiano di Revolut.

Se al momento non sono ancora stati resi noti i dettagli su come l’attaccante è riuscito ad ottenere l’accesso al database, le prime indiscrezioni sembrano avvalorare l’ipotesi che sia stata utilizzata l’ingegneria sociale, ovvero la tecnica la quale prevede l’impiego di metodi non tecnici per indurre la vittima ad abbassare la guardia e spingerla in tal modo a condividere i propri dati personali.

L’agenzia lituana per la protezione dei dati ha a sua volta precisato che le informazioni probabilmente esposte all’incursione includono:

  • gli indirizzi di posta elettronica;
  • le generalità complete degli interessati;
  • gli indirizzi postali;
  • i recapiti telefonici;
  • i dati di account e carta di pagamento

La stessa azienda, però, in una comunicazione inviata ad uno dei clienti colpiti dall’attacco, ha precisato che il tipo di dati personali compromessi può variare a seconda dei clienti. Al tempo stesso il raid non ha interessato i dettagli della carta, i PIN o le password. Così come non sono stati colpiti i fondi detenuti sul proprio conto dagli utenti.

La reazione di Revolut

Una volta accertato l’attacco, Revolut ha intrapreso le operazioni tese a limitare nella maniera più significativa possibile il livello di rischio per la propria clientela, procedendo all’isolamento dell’attaccante entro le 2 del lunedì successivo. Inoltre, l’azienda ha deciso di dare vita ad una squadra di esperti, cui è stato affidato il compito di monitorare i conti dei clienti, in maniera tale da poter avere la certezza che sia i fondi che i dati non siano più a repentaglio.

Non è mancata poi una ulteriore precauzione, quella tesa a mettere in guardia i clienti dal non rispondere ad eventuali messaggi richiedenti dati personali o credenziali di accesso, poiché Revolut non è intenzionata a consultare gli utenti e non ha alcuna intenzione di chiedere, ora o in futuro, informazioni sensibili. Una precauzione ricordata spesso dalle aziende che dedicano i propri sforzi alla sicurezza informatica la quale, però, troppo spesso viene disattesa dagli interessati, aprendo di conseguenza un vero e proprio portone per i malintenzionati.

Alcuni clienti dell’app hanno dal canto loro affermato di aver notato nel periodo dell’incidente l’utilizzo di un linguaggio del tutto inappropriato nella chat di supporto ai visitatori. Se non è ancora chiaro il legame con la violazione, al tempo stesso non può essere esclusa l’ipotesi che gli hacker siano riusciti a conseguire l’accesso a una gamma più ampia di sistemi utilizzati dall’azienda per dispensare i propri servizi finanziari. Dopo essersi scusata per quanto accaduto, la stessa Revolut ha poi garantito di essere tuttora al lavoro per cercare non solo di risolvere il problema, ma anche per fare in modo che non possa più ripetersi.

Intanto è partito l’assalto dei phisher

Una volta rivelata la notizia, però, è immediatamente partita l’offensiva dei phisher, i quali hanno iniziato una vera e propria campagna tesa a individuare i clienti di Revolut e indurli a rivelare i propri dati sensibili. Il metodo utilizzato è quello ormai largamente conosciuto da tutti coloro che nel corso degli ultimi anni sono stati oggetto di comunicazioni di posta elettronica in cui si ufficializzava il congelamento del conto. Un congelamento a tutti gli effetti inesistente, il quale viene però spesso addotto come causa dell’inusuale richiesta.

A ufficializzare quanto sta accadendo è stata la piattaforma Report Smishing di UCL. Anche in questo caso le missive fraudolente invitano a fare clic su un link dove è già stata predisposta la trappola cui spetta il compito di estorcere i dati completi della carta di pagamento. Una volta ottenute queste informazioni, i truffatori saranno in grado di effettuare acquisti online oppure inviare il denaro estorto a conti di cui hanno il pieno controllo.

Il consiglio è naturalmente quello consueto in casi di questo genere: non aderire ad alcun invito a rivelare i dati del proprio conto, in quanto si tratta sempre ed esclusivamente di truffe. In particolare, non bisogna mai fare clic su link indicati senza prima essersi sincerati che siano riconducibili a siti attendibili. La speranza è invece che gli interessati decidano di non consegnarsi a coloro che in queste ore stanno tramando nell’ombra sperando di avere un indebito profitto dall’accaduto. Una speranza troppo spesso disattesa da comportamenti inappropriati.

Leggi anche: È ufficiale Revolut Pay, un ulteriore passo verso pagamenti più semplici e sicuri