Purtroppo riceviamo continuamente e-mail di phishing. Nella maggior parte dei casi, i sistemi di rilevamento dei nostri sistemi di posta elettronica sono abbastanza efficienti da reindirizzarli automaticamente alla cartella Spam. Oltre a costringerci a svuotarla di tanto in tanto, questi messaggi truffaldini hanno in definitiva un impatto minimo. Gli hacker lo sanno bene, ed è per questo che inventano truffe sempre più sofisticate.
Uno dei metodi più efficaci per farlo, è fingere di essere un’entità reale e nota: la propria banca, il proprio fornitore di energia elettrica, un’azienda con cui si ha avuto a che fare, ecc. Ma questa volta, gli hacker hanno fatto di meglio: sono riusciti a spacciarsi al 100% per Google, utilizzando persino un indirizzo email autentico di Google.
Attenzione a questa e-mail da Google, è un abile tentativo di phishing
Lo sviluppatore Nick Johnson sta lanciando l’allarme su X. Ha ricevuto un’e-mail in cui si diceva che Google aveva ricevuto un ordine del tribunale di fornire dati sul suo account. Sorpresa: il messaggio è stato inviato da no-reply@google.com, l’indirizzo utilizzato dall’azienda, ed è addirittura integrato con altri avvisi di sicurezza molto reali. I sistemi anti-spam dell’azienda non hanno reagito.
Recently I was targeted by an extremely sophisticated phishing attack, and I want to highlight it here. It exploits a vulnerability in Google's infrastructure, and given their refusal to fix it, we're likely to see it a lot more. Here's the email I got: pic.twitter.com/tScmxj3um6
— nick.eth (@nicksdjohnson) April 16, 2025
Un link reindirizza a un sito web creato con Google Sites, uno strumento ufficiale di Big G per creare pagine web. Un indirizzo come sites.google.com/qualcosa non desta sospetti, perché sembra a tutti gli effetti appartenere a Google. I pulsanti “visualizza file” o “invia documenti aggiuntivi” portano a pagine in cui è necessario inserire i propri dati personali. Informazioni che poi vengono recuperate dagli hacker, e che potranno utilizzare come meglio credono. Quindi, se si riceve questo messaggio, non bisogna farlo assolutamente!
Hacker si spacciano per Google
Ma come hanno fatto gli hacker a spacciarsi per Google? Bisogna ammettere che questo tentativo di phishing è stato architettato proprio bene. Secondo l’analisi di Nick Johnson, sono state sfruttate due vulnerabilità. La prima riguarda Google Sites, che è stato utilizzato per creare le pagine false su cui si atterra dall’e-mail. La seconda è stata utilizzata per autenticare il messaggio come proveniente da Google.
In primo luogo, gli hacker hanno registrato un nome di dominio e lo hanno associato a un account Google aperto per l’occasione. Poi hanno creato un’applicazione Google OAuth utilizzando l’intero contenuto dell’e-mail fraudolenta come nome dell’applicazione. OAuth è un protocollo che autorizza un’applicazione a utilizzare l’API sicura di un altro sito web per conto di un utente. In poche parole, una “delega di autorizzazione“.
Consentendo all’account Google precedentemente creato di accedere a questa applicazione OAuth, i truffatori hanno ottenuto un’e-mail di notifica di sicurezza firmata da Google. Tutto quello che dovevano fare era inoltrare questa e-mail alle vittime. Intelligente, non c’è che dire.
Google risolverà le vulnerabilità
Lo sviluppatore ha segnalato la sua scoperta a Google, che però ha chiuso la discussione affermando che si trattava del normale comportamento del suo sistema. Dopo la pubblicazione su X, Big G ha finalmente annunciato che avrebbe corretto le falle riscontrate.
Ti potrebbe interessare
17 apr 2025