Una nuova campagna di phishing sta sfruttando Google Tasks per colpire dipendenti e aziende, mascherandosi da comunicazione interna legittima. A lanciare l’allarme sono i ricercatori di Kaspersky, i quali hanno individuato una strategia particolarmente insidiosa perché capace di aggirare i filtri antispam tradizionali. Il motivo è semplice. I messaggi partono dal dominio ufficiale @google.com, elemento che rende la comunicazione apparentemente affidabile e difficile da intercettare dai sistemi di sicurezza automatici.
La dinamica dell’attacco è studiata nei dettagli. L’utente riceve una notifica con oggetto “Hai un nuovo compito”, formula che richiama un’assegnazione interna o l’introduzione di un nuovo flusso di lavoro aziendale. In un contesto professionale una richiesta di questo tipo non desta immediatamente sospetti.
I criminali fanno leva sull’urgenza. Vengono infatti inserite scadenze ravvicinate e indicatori di priorità elevata. Il compito riguarda di frequente una presunta verifica dei dipendenti o un aggiornamento obbligatorio dei dati aziendali. L’obiettivo è spingere la vittima ad agire rapidamente, riducendo il tempo dedicato alla verifica della legittimità del messaggio. L’effetto psicologico è sempre lo stesso. Quando si teme una conseguenza amministrativa, si tende a cliccare prima di riflettere.
Il passaggio decisivo avviene quando si seleziona il link presente nella notifica. L’utente viene reindirizzato a una pagina che replica graficamente un modulo di login aziendale. Qui viene richiesto di inserire le credenziali per “confermare lo status”. In realtà, i dati digitati finiscono direttamente nelle mani degli attaccanti, aprendo la porta a possibili accessi non autorizzati ai sistemi interni.
Come difendersi dalla truffa legata a Google
La particolarità di questa campagna legata a Google risiede proprio nella sua capacità di mimetizzarsi nei flussi di lavoro ufficiali. Non si tratta di email sgrammaticate o domini palesemente sospetti, ma di notifiche che sembrano coerenti con strumenti utilizzati quotidianamente. Proprio per questo il livello di attenzione deve restare alto.
Gli esperti consigliano di non cliccare automaticamente su link ricevuti tramite notifiche inattese, anche quando provengono da servizi noti. Prima di inserire qualsiasi credenziale è fondamentale controllare attentamente l’indirizzo web della pagina di destinazione. Bisogna verificare che corrisponda effettivamente al dominio ufficiale dell’azienda o del servizio utilizzato. In caso di dubbi, è preferibile accedere manualmente alla piattaforma digitando l’indirizzo nel browser. Evitare quindi di seguire collegamenti incorporati nei messaggi.
Un altro aspetto fondamentale riguarda la verifica interna. Se si riceve una richiesta insolita che coinvolge dati sensibili o aggiornamenti obbligatori, è opportuno contattare direttamente il reparto IT o il proprio responsabile tramite canali ufficiali. Anche i numeri di telefono eventualmente indicati nel messaggio non dovrebbero essere utilizzati senza un controllo preventivo.
La crescente sofisticazione delle truffe dimostra quanto il phishing si stia evolvendo, sfruttando strumenti legittimi per aumentare la credibilità degli attacchi.
