Gmail aggirata da truffatori: ecco come ci sono riusciti
Una storia senz'altro interessante.
Gli attacchi di phishing non sono nulla di nuovo, del resto truffe e raggiri sono all'ordine del giorno. Eppure, alle volte ci sono dei tentativi così clamorosi che non possono lasciare indifferenti. È ciò che è successo questa settimana quando lo sviluppatore Nick Johnson ha condiviso un’email di phishing a nome Google così ben fatta che in qualche modo è passata oltre gli avvisi di Gmail. Ironia della sorte, il fatto è emerso nei giorni in cui l'azienda ha spiegato come l'AI abbia aiutato a stanare la maggior parte delle truffe sul web: di certo non questa, però.
LA STORIA
L’email proveniva da "no-reply@accounts.google.com" ed era effettivamente firmata da accounts.google.com. Sembrava davvero autentica: non c’erano banner rossi, intestazioni sospette e dunque Gmail non ha nemmeno battuto ciglio. L’email rimandava a una pagina ospitata su Google Sites, un servizio reale che Google offre per creare siti web. La pagina assomigliava davvero ad una originale di supporto Google, completa di opzioni come “visualizza caso” e “carica documenti aggiuntivi”. Ma cliccando su quei pulsanti si veniva reindirizzati ad una falsa pagina di accesso Google, anch’essa ospitata su Google Sites.
Come funzionava questa truffa? Secondo la spiegazione di Johnson, gli aggressori hanno registrato un dominio e creato un account Google ad esso collegato. Poi hanno realizzato un’app Open Authorization personalizzata e usato l’intero messaggio di phishing come nome dell’app. Una volta configurata, hanno concesso al proprio account Google l’accesso all’app, il che ha scatenato un’email di sicurezza autentica inviata da Google. Quell’email dall’aspetto legittimo è stata quindi inoltrata alle vittime, facendola sembrare davvero inviata da Google.
