Mirko Zago

Nuovo attacco phishing ai danni di utenti Gmail

Gli utenti Gmail sono potenziali vittime di un nuovo sofisticato attacco phishing. Google correrà ai ripari, ma al momento nulla è stato fatto

Roma - Gli utilizzatori del servizio di posta elettronica fornito da Google sono bersaglio di un nuovo attacco phishing. Il un nuovo metodo è pensato per estorcere dati d'accesso di utenti e al momento sta mietendo numerose vittime.

L'attacco è stato recentemente descritto da Mark Maounder, CEO di Wordfence, azienda che ha sviluppato un omonimo plugin di sicurezza per WordPress. Si tratta di una sofisticata tecnica "avvistata" già un anno fa, ma che solo nelle ultime settimane sta prendendo piede. Al momento non è chiaro se Google sia intenzionata a integrare nuovi filtri per intercettare questo tipo di attacchi e renderli inefficaci, anche se è plausibile pensare che i controlli saranno a breve resi più stringenti.

phishing

L'attacco viene sferrato mediante l'invio di una mail da un account già compromesso contenente uno screenshot o un'immagine relativa a un allegato usato in una recente comunicazione con il destinatario (ma sembra che anche l'anteprima di un PDF possa fare da aggancio). Quando il mittente clicca su questa immagine viene aperta una nuova schermata che chiede all'utente di loggarsi di nuovo a Gmail, come se si trattasse di una momentanea caduta di connessione. La tecnica phishing si basa sull'utilizzo di uno schema chiamato Data URI e sulla simulazione della pagina ufficiale di login. A questo punto l'utente meno accorto che dovesse riloggarsi finirebbe per condividere con l'aggressore le sue credenziali di accesso al sistema di posta, cadendo così nel tranello.
L'attacco è ben studiato anche dal punto di vista formale. Viene infatti bypassato uno dei campanelli di allarme utili a evitare attacchi simili. Quando si viene dirottati su una pagina "non ufficiale" e potenzialmente dannosa, il nome a dominio che appare nella barra degli indirizzi del browser è palesemente diverso da quello normalmente utilizzato dal servizio reale. Ma non in questo caso: il nome che si legge sulla barra è infatti del tutto simile a quello vero(https://accounts.google.com/ServiceLogin?), semplicemente preceduto da una poco sospettabile stringa data.text/html. Per trarre ancora più in inganno l'utente, l'aggressore è in grado di far precedere l'indirizzo del dominio da https:// (protocollo di sicurezza sempre usato da Gmail), aumentando così l'efficacia dell'attacco.

Da quanto si apprende da una vittima, "gli aggressori si loggano immediatamente una volta ottenute le credenziali e usano un allegato recente accompagnato da un oggetto utilizzato di recente inviando mail alla tua lista di contatti". La velocità di reazione lascia intendere che possa esistere un sistema automatizzato per concludere l'attacco o quanto meno la presenza di una folta squadra di persone preparate.

Questa minaccia insegna che è fondamentale adottare un comportamento cosciente online (anche grazie alla nostra guida), prestando attenzione a tutti gli indicatori di sicurezzaa disposizione, da quelli più evidenti, come i messaggi di avvertimento di Google su potenziali rischi a navigare alcune pagine Web, fino a quelli meno evidenti come la correttezza del nome a dominio e il rispetto di parametri di sicurezza adottati da servizi online come nel caso della posta elettronica (la presenza dell'icona del lucchetto sulla barra degli indirizzi è ormai adottato dai moderni browser). Gmail offre anche un sistema di doppia verifica attivabile su ogni account ed è sempre possibile verificare le attività svolte nel proprio account semplicemente cliccando sulla voce "dettagli" presenti in basso a destra nella schermata principale.

Mirko Zago
Notizie collegate
  • SicurezzaDifendersi dal phishingStrana e-mail da banche e servizi online? Potrebbe trattarsi di tentativi di truffa. Ecco alcune dritte per scongiurare il pericolo e smascherare i malfattori
  • SicurezzaBrowser, nuovo rischio phishingUna società di sicurezza ha scoperto un nuovo metodo che i phisher potrebbero sfruttare per forgiare truffe ancor più raffinate e credibili, un metodo capace di sfruttare un comportamento standard di tutti i browser
  • AttualitàItalia, prima condanna per phishingDue truffatori avevano predisposto una rete di conti bancari e di complici residenti in Italia, spesso vittime a loro volta, per riciclare all'estero il frutto di numerose frodi. Per loro una sentenza pesante
23 Commenti alla Notizia Nuovo attacco phishing ai danni di utenti Gmail
Ordina
  • Basterebbe che gmail modificasse le mail impostando dei colori dove c'è qualcosa di cliccabile con un link:
    Se è un link, il link stesso avrà quel colore.
    Se è un'immagine, sarà mostrata con un contorno sempre dello stesso colore

    Tipo qualcosa di capibile dalla segretaria di turno:
    -verde: link sicuramente affidabile
    -nero/nessun colore: non si sa
    -rosso: possibile fishing come nel caso del link di questo articolo


    A questo punto basta dire alla segretaria di aprire solo le immagini e i link verdi e chiedere per quelli neutri.
    Il resto ovviamente va nel cestino.

    E' così difficile?
    non+autenticato
  • E' inutile, cliccano lo stesso.
    non+autenticato
  • - Scritto da: ...
    > E' inutile, cliccano lo stesso.

    Esatto. L'utente deve imparare 4 regole base di sicurezza, guidarlo non serve a nulla, tanto cadrebbe nel prossimo tranello.
    non+autenticato
  • > E' inutile, cliccano lo stesso.

    Quando la segretaria viene cacciata a pedate vedrai che quella successiva comincerà a fare le cose nel modo giusto.
    non+autenticato
  • - Scritto da: xx tt
    > Tipo qualcosa di capibile dalla segretaria di
    > turno:
    > -verde: link sicuramente affidabile
    > -nero/nessun colore: non si sa
    > -rosso: possibile fishing come nel caso del link
    > di questo
    > articolo

    Già adesso se si clicka sull'icona a sinistra dell'URL, Chrome ti da un sacco di informazioni. Inoltre, se c'è il lucchetto verde puoi inserire le tue credenziali; in questo caso il lucchetto non c'è.
    non+autenticato
  • > Già adesso se si clicka sull'icona a sinistra
    > dell'URL, Chrome ti da un sacco di informazioni.
    > Inoltre, se c'è il lucchetto verde puoi inserire
    > le tue credenziali; in questo caso il lucchetto
    > non
    > c'è.

    Troppo poco, purtroppo. Ci vuole qualcosa di evidentissimo
    non+autenticato
  • - Scritto da: xx tt
    > Basterebbe che gmail modificasse le mail
    > impostando dei colori dove c'è qualcosa di
    > cliccabile con un
    > link:
    > Se è un link, il link stesso avrà quel colore.
    > Se è un'immagine, sarà mostrata con un contorno
    > sempre dello stesso
    > colore
    >
    > Tipo qualcosa di capibile dalla segretaria di
    > turno:
    > -verde: link sicuramente affidabile
    > -nero/nessun colore: non si sa
    > -rosso: possibile fishing come nel caso del link
    > di questo
    > articolo

    Piccola domanda , come fa a capire Google se un link deve essere colorato di verde ?
  • > Piccola domanda , come fa a capire Google se un
    > link deve essere colorato di verde
    > ?

    Perché ad es. sarà un www.google.com invece del consueto www.gogle.com o varianti del caso.
    non+autenticato
  • - Scritto da: xx tt
    > Basterebbe che gmail modificasse le mail
    > impostando dei colori dove c'è qualcosa di
    > cliccabile con un
    > link:
    > Se è un link, il link stesso avrà quel colore.
    > Se è un'immagine, sarà mostrata con un contorno
    > sempre dello stesso
    > colore

    E che cosa c'e' di difficile nell'impostare un foglio di stile con
    a { color: red !important; }

    > Tipo qualcosa di capibile dalla segretaria di
    > turno:
    > -verde: link sicuramente affidabile
    > -nero/nessun colore: non si sa
    > -rosso: possibile fishing come nel caso del link
    > di questo
    > articolo
    >
    >
    > A questo punto basta dire alla segretaria di
    > aprire solo le immagini e i link verdi e chiedere
    > per quelli neutri.
    >
    > Il resto ovviamente va nel cestino.
    >
    > E' così difficile?

    NO. Una riga nel foglio di stile che puoi fare anche tu.
  • Meglio tenere gli elementi grafici al minimo. Altrimenti c'è il rischio che la segretaria li confonda con grafiche pubblicitarie della mail.
    non+autenticato
  • - Scritto da: xx tt
    > Meglio tenere gli elementi grafici al minimo.
    > Altrimenti c'è il rischio che la segretaria li
    > confonda con grafiche pubblicitarie della
    > mail.

    La mail va configurata per non visualizzare mai la grafica embedded.

    Se quello che rimane non contiene informazione, la mail viene cancellata senza remore.
  • Ad oggi non ho visto nessun fishing abbastanza sofisticato da giustificare una vittima: ci sei cascato? Bene, la prossima volta stà più attento.

    L'informatica è parte sempre più rilevante della nostra società, come tale una sua conoscenza egualmente approfondita in rapporto all'importanza che l'informatica via via ha è richiesta.
    non+autenticato
  • +1           Sorride
    non+autenticato
  • Continuo a dare sempre meno importanza all'email.
    E i dati più importanti li sto spostando altrove.
    iRoby
    9698
  • > Continuo a dare sempre meno importanza all'email.
    > E i dati più importanti li sto spostando altrove.

    Secondo me è l'e-mail che va spostata altrove. Ovvero utilizzata in qualche macchina virtuale che ripristini da snapshot ogni volta che la usi.

    Se poi gli indirizzi nell'e-mail fossero verificati prima di mostrarteli, il problema sarebbe anche meno grave.
    Voglio dire: devo perdere la vista io per accorgermi che www.ilgiomale.it non è ilgiornale.it? Il server non può?
    non+autenticato
  • Se "ripristini" ad ogni lettura come sai quali mails sono lette, quali no, quali cestinate ecc?

    Quanto alla verifica: si può verificare il mittente nel senso che la mail inviata da tizio.tld non possa apparire come inviata da caio.tld ma nulla di più in effetti con che diritto posso decidere che il dominio gooogle.com è da bloccare? Se esiste, è stato realmente acquistato ha il diritto di mandar posta anche se il suo nome può trarre in inganno.

    Chi ha provato a far lo sceriffo a sempre fatto più danni che altro
    non+autenticato
  • E posso chiederti quale forma di comunicazione scritta prediligi all'email?

    Perché l'email ad oggi è l'unica largamente diffusa, standard ed aperta, puoi usare la mail con svariati MUA (client) e server, puoi usarla praticamente in ogni sistema ed ogni versione. Roba tipo WatsApp funziona solo su alcuni os mobile moderni, è legato ad una sim, gira solo su server proprietari e comunica solo con se stesso, al confronto una mail può girare su un mio server personale, inviata da una mia applicazione, scelta tra n o anche scritta da me, ricevuta dai server chessò di Yahoo o GMail o Libero o Yandex ecc ed esser letta da un'altra applicazione ecc ecc ecc

    Si chiama libertà.
    non+autenticato
  • - Scritto da: xte
    > Ad oggi non ho visto nessun fishing abbastanza
    > sofisticato da giustificare una vittima: ci sei
    > cascato? Bene, la prossima volta stà più
    > attento.
    >
    > L'informatica è parte sempre più rilevante della
    > nostra società, come tale una sua conoscenza
    > egualmente approfondita in rapporto
    > all'importanza che l'informatica via via ha è
    > richiesta.


    Si e tutti quelli che dicono: perché per guidare l'auto bisogna capirne per forza di meccanica? Cosa gli rispondiamo?

    Che poi sono i primi denigratori di linux e affini, perché voglio usare il computer ANCHE se non capisco niente di informatica. E così che si e creato il popolo gregge di faccebuk.
    non+autenticato
  • - Scritto da: Il fuddaro

    >
    > Si e tutti quelli che dicono: perché per guidare
    > l'auto bisogna capirne per forza di meccanica?
    > Cosa gli
    > rispondiamo?
    >

    Gli diciamo: tranquillo, finchè le ruote girano non c'è di che preoccuparsi!A bocca aperta
    non+autenticato
  • - Scritto da: Il fuddaro
    > - Scritto da: xte
    > > Ad oggi non ho visto nessun fishing abbastanza
    > > sofisticato da giustificare una vittima: ci sei
    > > cascato? Bene, la prossima volta stà più
    > > attento.
    > >
    > > L'informatica è parte sempre più rilevante della
    > > nostra società, come tale una sua conoscenza
    > > egualmente approfondita in rapporto
    > > all'importanza che l'informatica via via ha è
    > > richiesta.
    >
    >
    > Si e tutti quelli che dicono: perché per guidare
    > l'auto bisogna capirne per forza di meccanica?
    > Cosa gli
    > rispondiamo?

    Suca!

    > Che poi sono i primi denigratori di linux e
    > affini, perché voglio usare il computer ANCHE se
    > non capisco niente di informatica. E così che si
    > e creato il popolo gregge di
    > faccebuk.

    La colpa e' tutta di quei markettari che invece di dire RTFM gratis, hanno preferito vendere illusioni a caro prezzo.

    Prezzo che oggi paghiamo tutti.
  • > Si e tutti quelli che dicono: perché per guidare
    > l'auto bisogna capirne per forza di meccanica?
    > Cosa gli
    > rispondiamo?

    Che non viene loro richiesto di sapere come funziona, ma di sapere come usarla in modo sicuro.

    > Che poi sono i primi denigratori di linux e
    > affini, perché voglio usare il computer ANCHE se
    > non capisco niente di informatica. E così che si
    > e creato il popolo gregge di
    > faccebuk.

    Devono solo capire che l'utilizzo base, ovvero da ignorante, è un utilizzo limitato, ovvero più di tanto non possono pretendere di fare.

    Sono vittime dell'illusione winara di poter fare sempre tutto a icone colorate
    non+autenticato
  • Gli rispondiamo che allora si tengano i problemi.

    L'unica cosa che mi secca è se le loro azioni riguardano anche me in qualche modo...
    non+autenticato