Un nuovo attacco phishing ha aggirato le protezioni di Gmail utilizzando i sistemi di Google stessi. Lo sviluppatore Nick Johnson ha segnalato di aver ricevuto un’email fraudolenta che, nonostante provenisse da un dominio esterno, appariva firmata digitalmente da accounts.google.com. L’email, peraltro, non ha arrivato nessuno dei sistemi di sicurezza di Gmail e appariva in tutto e per tutto legittima.
Come funziona la truffa
Il meccanismo dell’attacco si basa su un ingegnoso impiego delle piattaforme Google. Gli attaccanti hanno registrato un dominio personale e creato un account Google collegato. Successivamente hanno sviluppato un’applicazione OAuth personalizzata utilizzando come nome dell’app l’intero messaggio di phishing. Dopo aver autorizzato questa app con il proprio account, hanno ricevuto una notifica di sicurezza autentica da Google, che hanno poi inoltrato alle vittime mantenendo la firma digitale originale.
Il link nell’email conduceva a una pagina ospitata su Google Sites, il servizio ufficiale per la creazione di siti web, con una perfetta imitazione di una pagina di supporto Google. Cliccando sui pulsanti presenti nella pagina, le vittime venivano reindirizzate a un falso form di accesso, anch’esso ospitato sui server di Google, progettato per rubare le credenziali. Il come sia possibile che Google non abbia dei filtri per evitare tutto ciò rimane un mistero.
La risposta di Google
Inizialmente Google ha minimizzato il problema. Solo dopo numerosi pressioni pubbliche, l’azienda ha cambiato posizione, riconoscendo la necessità di risolvere la vulnerabilità. L’incidente evidenzia due criticità principali: la possibilità di utilizzare script ed elementi incorporati su Google Sites per scopi fraudolenti e il fatto che email provenienti da domini esterni possano apparire firmate da Google.
Non è la prima volta che i sistemi di Google vengono sfruttati per attività malevole. Alla fine del 2023 era già emersa una truffa simile che coinvolgeva false email di recupero password e l’uso di ID di chiamata, connessi ai servizi di Google, falsificati. Questo tipo di attacco rappresenta un’evoluzione preoccupante delle tecniche di phishing, in quanto sfrutta la fiducia degli utenti nei confronti dei servizi Google e aggira i tradizionali segnali d’allarme che permetterebbero di identificare un’email fraudolenta. Insomma, ci troviamo davanti ad una frode così ben fatta che potrebbe trarre in inganno perfino gli utenti più prudenti.
Quando le email di phishing arrivano da Google è stato pubblicato per la prima volta su Lega Nerd. L’utilizzo dei testi contenuti su Lega Nerd è soggetto alla licenza Creative Commons Attribuzione-Non commerciale-Non opere derivate 2.5 Italia License. Altri articoli dello stesso autore: Umberto Stentella