Google Tasks è il mezzo con cui i cybercriminali hanno puntato dritto su quella che sembra essere una scorciatoia perfetta per ingannare gli utenti: una notifica che arriva da un mittente apparentemente affidabile. Da qui nasce la nuova campagna di phishing messa in luce da Kaspersky, che sfrutta la fiducia nelle comunicazioni interne per aggirare ogni sospetto.
Come avviene l’attacco sfruttando Google Tasks e perché inganna
La dinamica è semplice, ma efficace. Una notifica con oggetto Hai un nuovo compito appare nella casella della vittima. Il messaggio dà l’impressione di far parte del normale flusso di lavoro aziendale: si parla di attività assegnate, scadenze imminenti e priorità alta. A rafforzare l’illusione c’è l’uso di indirizzi che sembrano legittimi, tra cui riferimenti a @google.com, una scelta studiata per superare i tradizionali filtri antispam e per abbassare la guardia.
L’inganno fa leva sull’elemento psicologico dell’urgenza: chi riceve il messaggio teme ripercussioni amministrative e tende ad aprire link o allegati senza pensarci troppo. Spesso il compito richiesto viene descritto come una presunta verifica dei dipendenti, una scusa credibile che induce alla collaborazione immediata. Non si tratta di fantasia: le truffe moderne replicano il linguaggio del lavoro quotidiano, così da confondersi tra le vere comunicazioni aziendali.
Difese pratiche e comportamenti da adottare
Davanti a strategie tanto curate, la risposta deve essere soprattutto culturale e operativa. Prima regola, sempre valida: evitare di aprire link o documenti parte di notifiche inattese. Meglio controllare lo stesso avviso direttamente dall’applicazione ufficiale, evitando passaggi intermedi che possono essere compromessi.
È utile verificare il mittente con attenzione, non fermandosi al nome visualizzato ma esaminando l’indirizzo reale e cercando incongruenze. Potenziare le protezioni significa anche attivare l’autenticazione a più fattori per gli account di lavoro e mantenere aggiornati client e soluzioni di sicurezza. La formazione mirata ai dipendenti rimane una barriera fondamentale: insegnare a riconoscere segnali di phishing, simulare attacchi controllati e promuovere la segnalazione rapida di messaggi sospetti riduce molto il rischio di successo delle campagne. Dal punto di vista tecnico, i team IT devono rivedere le regole dei filtri e controllare eventuali eccezioni che permettano il passaggio di messaggi apparentemente legittimi, affinché non diventino un varco sfruttabile.
