Per scongiurare la resa delle password al phishing, e la pericolosa abitudine al riuso delle chiavi d’accesso presso diversi servizi leciti, Mountain View ha messo a disposizione una estensione per utenti Chrome capace di segnalare la concorrenza delle password per account diversi da quelli afferenti a Google e, di conseguenza, i form truffaldini in cui l’utente tenti di loggarsi con i propri dati Google.
Denominata Password Alert, free e open source e utilizzata da tempo nel Googleplex, l’ estensione si innesca nel momento in cui l’utente inserisca la propria password associata ai servizi di Google (Gmail o Google for Work) in form che con Google non hanno nulla a che vedere. L’estensione conserva e protegge con hash le password: sulla base del codice HTML delle pagine su cui l’utente agisce digitando la chiave di accesso, verifica se si tratti o meno di una pagina di dominio della Grande G.
Prima di contrastare il phishing, dunque, l’estensione tenta di scoraggiare il riciclo delle password presso diversi servizi, seppure leciti, una pratica abituale che agevola non poco l’operato dei malintenzionati. Agli utenti che si ritenessero consapevoli dei pericoli del riuso, Google consente di classificare delle pagine come sicure, disabilitando la segnalazione di pericolo.
Password Alert, oltre ai siti su cui la password Google viene riusata consapevolmente dall’utente, intercetta di conseguenza anche le false pagine di accesso di Google, quelle cioè che sollecitino l’inserimento di dati afferenti agli account Google (Gmail o Google for Work) al solo scopo di carpirli. Quasi il 2 per cento delle email inviate ad account Gmail sono tentativi di phishing che invitano l’utente a condividere i propri dati, password comprese, con servizi che si spacciano per autentici. Google segnala che gli attacchi sono efficaci nel 45 per cento dei casi.
L’estensione opera correttamente solo nel browser Chrome con JavaScript abilitato, e non protegge le finestre di navigazione in modalità incognito, le app e le estensioni di Chrome. Può integrarsi anche con Google for Work: in quel caso, sarà l’amministratore a implementare il servizio e a ricevere le segnalazioni, così da poter intervenire con gli opportuni reset delle password.
Gaia Bottà