Gmail vi scrive? Aspettate a cliccare, potrebbe essere una nuova e sofisticata truffa allestita per catturare chi utilizza il sistema di posta di Google.
Non è certo questo il primo attacco phishing che arriva su Gmail ma se vale la pena di segnalarlo è perché è talmente ben fatto da essere in grado di ingannare chiunque. Non parliamo della solita email con errori di grammatica o link palesemente sospetti, ma di una banda di criminali che usano template praticamente identici a quelli ufficiali di Google e hanno allestito un sistema che rende tutto molto credibile.
I truffatori non usano infatti account esterni, ma sfruttano direttamente i servizi Google — come le notifiche di Google Drive — per inviare i messaggi trappola. Il risultato è che le email arrivano da un dominio Google legittimo, sono firmate correttamente e Gmail le considera sicure.
La trappola tesa a uno sviluppatore
Per capire quanto possa essere credibile questa nuova ondata di attacchi, vale la pena raccontare cosa è successo a Nick Johnson, uno sviluppatore molto noto nel mondo tech che ha lanciato l’allarme.
In un thread su X, Johnson ha descritto in dettaglio il phishing che ha ricevuto: un’email apparentemente ufficiale da Google, firmata no-reply@google.com, che gli comunicava l’esistenza di un presunto mandato legale (una “subpoena”) e la richiesta di fornire i contenuti del suo account Google.
Di solito messaggi come questi possono essere facilmente bollati come falsi semplicemente leggendo da chi arrivano. Qui invece l’’email proveniva davvero da un dominio Google legittimo e aveva superato tutti i controlli tecnici, compreso il DKIM, che certifica l’autenticità dei messaggi. Gmail, infatti, l’ha archiviata automaticamente insieme alle altre notifiche ufficiali sulla sicurezza. Un comportamento che ha convinto anche Johnson che potesse essere vera.
Nel messaggio c’era un link per “accedere e fornire i dati richiesti”. Cliccandolo, Johnson si è ritrovato su una pagina che sembrava in tutto e per tutto la schermata di login ufficiale di Google.
Qual è il vero rischio?
Il pericolo principale è che l’utente, convinto di trovarsi davvero su una pagina di Google, inserisca le proprie credenziali di accesso. In quel momento, i truffatori ottengono nome utente e password del suo account Google, con tutto ciò che questo comporta.
Se l’account non ha attiva l’autenticazione a due fattori (2FA), gli hacker possono accedere direttamente alla posta, ai documenti su Drive, alle foto, alla cronologia di ricerca e persino ai metodi di pagamento salvati.
Ma anche con la 2FA attiva, alcuni attacchi possono usare la pagina fake per intercettare il codice temporaneo, o per far credere all’utente di doverlo inserire in un secondo passaggio, mentre in realtà viene subito usato dai truffatori in tempo reale.
Come è stato possibile?
Secondo Johnson, i truffatori sfruttano un vecchio servizio di Google chiamato Google Sites, che permette ancora oggi di creare pagine ospitate su un sottodominio google.com. Usandolo, costruiscono una finta schermata di login che sembra autentica.
Infatti l’URL di provenienza non era accounts.google.com, bensì sites.google.com. Questo perché, probabilmente, i pirati registrano un dominio fasullo poi creano un account Google collegato e impostano un’app OAuth con un nome ingannevole come “Google Legal Support”. Quando concedono i permessi a questa app, Google invia davvero una notifica di sicurezza via email.
E Google cosa ha fatto?
Alla fine del suo thread, Nick Johnson ha raccontato di aver segnalato il problema a Google. Ma la prima risposta non è stata incoraggiante: il suo bug report è stato chiuso con la motivazione “funziona come previsto”. Secondo Google, insomma, non si trattava di un vero problema di sicurezza.
Johnson ha detto chiaramente di non essere d’accordo, sottolineando quanto sia facile per un utente cadere in inganno con email così credibili. Poco dopo, però, è arrivata una svolta: Google ha ricontattato Johnson, ha cambiato posizione e ha confermato che correggerà il problema.
La conferma ufficiale è arrivata anche a Newsweek, dove un portavoce di Google ha spiegato che il gruppo responsabile dell’attacco è noto come Rockfoils, e che si tratta di una campagna mirata già monitorata dall’azienda.
“Siamo a conoscenza di questa classe di attacchi mirati da parte dell’attore Rockfoils e stiamo implementando protezioni da una settimana. Queste protezioni saranno completamente distribuite a breve, e bloccheranno questa possibilità di abuso.”
Nel frattempo, Google invita tutti gli utenti a proteggersi direttamente:
“Invitiamo gli utenti ad attivare l’autenticazione a due fattori e le passkey, che offrono una protezione più efficace contro questo tipo di campagne di phishing.”
Altri consigli?
Per il resto, valgono sempre gli altri consigli che si possono dare in queste occasioni.
- Controllare bene l’indirizzo del mittente: anche se il nome è “Google”, l’email vera potrebbe essere tutt’altro. E attenzione anche ai link interni a Google Drive.
- Passare il mouse sui link senza cliccare: spesso i messaggi pirata portano a indirizzi strani, magari con domini che non c’entrano nulla con Google.
- Diffidate dalle urgenze: se una mail vi dice che dovete agire subito o rischiate qualcosa, è un segnale di truffa in arrivoo.
- Niente login da link ricevuti via mail: se avete dubbi, andate su Google manualmente, aprite il Drive o Gmail da browser e controllate se ci sono notifiche.
Cosa fare se avete cliccato (o se sospetti qualcosa)
Se per sbaglio avete cliccato su uno di questi link e magari hai anche inserito la password… niente panico, ma agisci in fretta:
- Cambiate subito la password dell’account Google.
- Attivate l’autenticazione a due fattori (2FA).
- Controllate l’attività recente del vostro account da myaccount.google.com.
- Segnala l’email come phishing usando l’apposita funzione in Gmail.
