Recentemente i ragazzi di XDA hanno scovato, all’interno dell’applicazione Google Inbox, una criticità di spoofing che permetterebbe alle persone di inviare mail a collegamenti tali da poter falsificare l’identità di colui il quale ha effettivamente inviato la mail stessa. Purtroppo, tale problematica affligge anche PayPal.
Qualora gli utenti facciano clic su un collegamento, esso aprirà il selettore di app predefinito Android e quindi – nel caso sia coinvolta – l’applicazione PayPal. A questo punto, gli utenti – tratti in inganno poichè quello nell’applicazione è effettivamente il link utilizzato da PayPal – saranno convinti a inviare soldi per qualsivoglia motivo.
Android è sotto attacco, fate attenzione
Ciò significa che un link spoofed a donations@unicef.org, ad esempio, potrebbe essere utilizzato per inviare invece denaro a scammer@spoofing.net. Ecco perchè noi vi consigliamo, per donazioni o altri invii di denaro, di utilizzare sempre il sito ufficiale e mai link contenuti in mail.
XDA ha dunque contattato PayPal, il quale riferisce che non si tratta di un bug, ma di una truffa ben ingegnerizzata. In tal senso, il noto servizio online poco può fare per combattere questo problema.
Potrebbe interessarti: PostePay: fare acquisti online può svuotare la carta e esporre i clienti a truffe
Questo difetto di progettazione riguarda anche molte altre applicazioni di posta elettronica, come quella predefinita su macOS, Outlook, l’app Email di Samsung e persino Gmail. Queste app sono interessate dallo stesso difetto di progettazione – vulnerabilità allo spoofing; fortunatamente, Google ha iniziato a fixare la vulnerabilità, a partire da Inbox.
Non ci resta che sperare che PayPal e le altre app interessate risolvano questo problema. Il difetto di progettazione è infatti molto diffuso e facile da sfruttare da hacker e truffatori, fate attenzione.