Gli utilizzatori del servizio di posta elettronica fornito da Google sono bersaglio di un nuovo attacco phishing . Il un nuovo metodo è pensato per estorcere dati d’accesso di utenti e al momento sta mietendo numerose vittime.
L’attacco è stato recentemente descritto da Mark Maounder, CEO di Wordfence, azienda che ha sviluppato un omonimo plugin di sicurezza per WordPress. Si tratta di una sofisticata tecnica “avvistata” già un anno fa, ma che solo nelle ultime settimane sta prendendo piede. Al momento non è chiaro se Google sia intenzionata a integrare nuovi filtri per intercettare questo tipo di attacchi e renderli inefficaci, anche se è plausibile pensare che i controlli saranno a breve resi più stringenti .
L’attacco viene sferrato mediante l’ invio di una mail da un account già compromesso contenente uno screenshot o un’immagine relativa a un allegato usato in una recente comunicazione con il destinatario (ma sembra che anche l’ anteprima di un PDF possa fare da aggancio). Quando il mittente clicca su questa immagine viene aperta una nuova schermata che chiede all’utente di loggarsi di nuovo a Gmail, come se si trattasse di una momentanea caduta di connessione. La tecnica phishing si basa sull’utilizzo di uno schema chiamato Data URI e sulla simulazione della pagina ufficiale di login . A questo punto l’utente meno accorto che dovesse riloggarsi finirebbe per condividere con l’aggressore le sue credenziali di accesso al sistema di posta, cadendo così nel tranello.
L’attacco è ben studiato anche dal punto di vista formale. Viene infatti bypassato uno dei campanelli di allarme utili a evitare attacchi simili. Quando si viene dirottati su una pagina “non ufficiale” e potenzialmente dannosa, il nome a dominio che appare nella barra degli indirizzi del browser è palesemente diverso da quello normalmente utilizzato dal servizio reale. Ma non in questo caso: il nome che si legge sulla barra è infatti del tutto simile a quello vero (https://accounts.google.com/ServiceLogin?), semplicemente preceduto da una poco sospettabile stringa data.text/html . Per trarre ancora più in inganno l’utente, l’aggressore è in grado di far precedere l’indirizzo del dominio da https:// (protocollo di sicurezza sempre usato da Gmail), aumentando così l’efficacia dell’attacco.
Da quanto si apprende da una vittima, “gli aggressori si loggano immediatamente una volta ottenute le credenziali e usano un allegato recente accompagnato da un oggetto utilizzato di recente inviando mail alla tua lista di contatti”. La velocità di reazione lascia intendere che possa esistere un sistema automatizzato per concludere l’attacco o quanto meno la presenza di una folta squadra di persone preparate.
Questa minaccia insegna che è fondamentale adottare un comportamento cosciente online (anche grazie alla nostra guida ), prestando attenzione a tutti gli indicatori di sicurezza a disposizione, da quelli più evidenti, come i messaggi di avvertimento di Google su potenziali rischi a navigare alcune pagine Web, fino a quelli meno evidenti come la correttezza del nome a dominio e il rispetto di parametri di sicurezza adottati da servizi online come nel caso della posta elettronica (la presenza dell’icona del lucchetto sulla barra degli indirizzi è ormai adottato dai moderni browser). Gmail offre anche un sistema di doppia verifica attivabile su ogni account ed è sempre possibile verificare le attività svolte nel proprio account semplicemente cliccando sulla voce “dettagli” presenti in basso a destra nella schermata principale.
Mirko Zago
Ti potrebbe interessare
19 gen 2017