Home » News » Gmail, utenti in pericolo: una truffa ha aggirato Google fregando tutti
News

Gmail, utenti in pericolo: una truffa ha aggirato Google fregando tutti

Questa volta il tentativo di truffa avrebbe preso in esame un colosso come Google e la sua posta elettronica Gmail.

scritto da Felice Galluccio 0 commenti 1 Minuti lettura
Gmail, utenti in pericolo: una truffa ha aggirato Google fregando tutti

I truffatori non smettono mai di sorprendere, ma questa volta sono riusciti in qualcosa di davvero eclatante: far passare un’email di phishing attraverso i filtri di sicurezza di Gmail, spacciandola per un messaggio ufficiale di Google. A scoprire l’inganno è stato lo sviluppatore Nick Johnson, che ha raccontato pubblicamente la vicenda dopo essere rimasto colpito dalla raffinatezza dell’attacco. Proprio nei giorni in cui Google celebrava i successi dell’intelligenza artificiale contro le truffe, questa è riuscita a passare inosservata.

L’inganno che ha superato i filtri Gmail

L’email sembrava arrivare da “no-reply@accounts.google.com”, con firma valida e nessun avviso sospetto da parte di Gmail. Apparentemente autentica, rimandava a una pagina creata su Google Sites, che simulava perfettamente un sito di supporto Google, con tanto di pulsanti come “visualizza caso” o “carica documenti”. Ma quei link portavano a una falsa pagina di accesso, sempre su Google Sites, dove gli utenti rischiavano di inserire le proprie credenziali.

Il trucco è stato possibile grazie a una combinazione di strumenti legittimi: i truffatori hanno creato un dominio, associato un account Google, sviluppato una finta app OAuth e inserito l’intero messaggio di phishing come nome dell’app stessa. Dopo aver concesso i permessi all’app, Google ha inviato una vera email di sicurezza all’account. Quell’email è stata poi girata alle vittime, risultando così autentica agli occhi dei sistemi di Gmail.

La risposta di Google (e i problemi ancora aperti)

Due i problemi principali segnalati da Johnson:

  • gli script e gli embed sono ancora utilizzabili su Google Sites da parte di malintenzionati;

  • l’email risultava firmata da Google, anche se in realtà proveniva da un indirizzo privateemail.com.

Inizialmente Google ha minimizzato la questione, chiudendo il bug report con la dicitura “funzionamento intenzionale”. Solo in un secondo momento, a fronte delle critiche ricevute, ha ammesso la necessità di intervenire.

Anche se casi come questo non sono nuovi, mostrano con chiarezza che i sistemi interni possono diventare un’arma nelle mani dei truffatori, se non aggiornati costantemente. E proprio chi si fida ciecamente della legittimità dei servizi Google, come Gmail, potrebbe essere il bersaglio più esposto.