Da qualche giorno gli esperti di cybersicurezza di tutto il mondo stanno diramando molti avvisi riguardanti una nuova e diffusa minaccia inoltrata a tappeto su un enorme numero di caselle email di Google, che sono probabilmente le più utilizzate al mondo. Intorno al 20 aprile scorso è stata notata una grossa ondata di email fraudolente che vengono inviate verso i server di Gmail e, a detta degli osservatori, sembra che vengano utilizzate tecniche piuttosto sofisticate.
L’attacco sembra infatti essere stato pensato per evitare di passare qualsiasi controllo di sicurezza, a partire dal voler fare apparire come mittente un indirizzo particolarmente rassicurante come no-reply@google.com ed utilizzando firme autentiche, quindi senza creare particolari o evidenti pericoli. Confondendo la notifica mail fraudolenta, data la sua difficile distinguibilità da quelle reali, anche perché sarebbe riuscita a superare i controlli del protocollo DKIM passando per legittima, il sistema lascia passare il messaggio, nel quale si chiede di fornire le proprie informazioni e le proprie password personali, ovviamente utilizzabili dagli hacker per lanciare altre offensive.
La truffa viene catalogata come phishing poiché come tratto che lo differenzia da altre offensive c’è ovviamente il tentativo di redirect dalla mail verso un sito fasullo che mostra false pagine di accesso a servizi Google, molto semplici da replicare a dire il vero. Entrandovi, poi, verrà richiesto di fornire una lunga serie di informazioni personali dopo aver, ovviamente, già perso le proprie credenziali Google. Tra i dati richiesti ci sono anche i numeri di previdenza sociale, dati bancari e credenziali varie, che verranno probabilmente sfruttati per effettuare qualche frode. Gli utenti potenzialmente coinvolti sono miliardi, vista la già citata platea smisurata di accessi che Gmail ha ogni giorno, ed i controlli sui messaggi fraudolenti probabilmente arrivano regolarmente nelle caselle poiché è stata utilizzata la piattaforma Google Sites, cosa che si nota anche nell’URL di reindirizzamento sul quale si arriva uscendo dal messaggio, che invece, in quanto pagina di login, dovrebbe poggiare sull’indirizzo accounts.google.com.
Per evitare tutti i problemi legati alla truffa, Google è corsa ai ripari comunicando che è consigliato attivare tutti i possibili fattori aggiuntivi di autenticazione, comprese le passkey, che associano gli accessi ai dispositivi personali usando chiavi private. È chiaro che nell’ottica di fornire una sorta di “medicina” per evitare gli effetti avversi di questa campagna il consiglio è necessario non cliccare mai sui collegamenti presenti nei messaggi e guardare bene i mittenti. Esagerando, ma a scopo precauzionale si può assolutamente fare, è contattare direttamente i mittenti delle email usando altre fonti ed assolutamente non interagendo in nessun modo col messaggio che ci è stato recapitato.
Ad ogni modo, Google è riuscito a porre rimedio alla questione applicando le dovute correzioni e dando le sue linee guida per evitare problemi, oltre a dichiarare di essere già a conoscenza della truffa e dei suoi responsabili, il gruppo Rockfoils. Una di queste linee guida è che l’azienda non chiederà in nessun modo ai suoi utenti alcun codice OTP via mail. Altre linee guida, fornite dagli esperti di phishing, consistono nell’applicare una sorta di strategia della diffidenza, soprattutto sui toni dei messaggi, che quando appaiono come urgenti, entusiasti o vogliono mettere fretta per determinate azioni sono quasi sicuramente truffe. Ad ogni modo, Google non chiederà mai dati personali, a differenza di ciò che era contenuto nel messaggio fasullo delle email inviate in questa campagna, e se lo farà, dice l’azienda, verrà fatto in modo trasparente e solo se espressamente richiesto da organizzazioni governative che hanno necessità di ricevere informazioni, ove legalmente possibile.
