Attenzione a questa sofisticata e-mail di phishing che sembra provenire da Google, azienda che sta già lavorando a una soluzione. I truffatori su Internet continuano a ideare nuove strategie per cercare di ottenere informazioni personali e dati sensibili delle loro vittime attraverso tutti i tipi di applicazioni e dispositivi. Sebbene l’e-mail rimanga ancora oggi uno dei metodi più utilizzati dagli hacker, con la tecnica del phishing tra le più ricorrenti. Lo ha condiviso lo sviluppatore Nick Johnson dopo essere stato “oggetto di un attacco di phishing estremamente sofisticato che sfrutta una vulnerabilità nell’infrastruttura di Google”.
Attenzione a questo nuovo attacco di phishing di Google
L’e-mail che ha ricevuto proveniva dall’account di posta elettronica no-reply@accounts.google.com, che “supera il controllo della firma DKIM”, sottolinea Johnson. Gmail non ha mostrato alcun avviso e “lo include persino nella stessa conversazione di altri avvisi di sicurezza legittimi”.
L’e-mail avvisava Johnson che Google aveva ricevuto una richiesta di presentare una copia del suo account Google. Cliccando su un link all’interno dell’e-mail, si accede a una pagina di “portale di assistenza” molto convincente, ospitata su sites.google.com. Questa tattica è astuta, afferma Johnson, perché le persone vedranno che il dominio è http://google.com e penseranno che sia reale e legittimo.
Cliccando su “Aggiungi documenti aggiuntivi” o “Visualizza caso”, si accede alla pagina di accesso; se la vittima inserisce i propri dati, i truffatori “presumibilmente raccoglieranno le sue credenziali di accesso e le useranno per compromettere il suo account”, afferma lo sviluppatore.
Come sono riusciti gli hacker a falsificare un’e-mail valida? Johnson attribuisce la colpa a “due vulnerabilità nell’infrastruttura di Google che si sono rifiutati di risolvere”. In primo luogo, il sito sites.google.com è “di prima che Google prendesse sul serio la sicurezza”. È possibile ospitare contenuti in un sottodominio di google.com e, cosa fondamentale, supporta script arbitrari.
“Ovviamente, questo semplifica la creazione di un sito per la raccolta di credenziali; basta essere pronti a caricare nuove versioni man mano che Google elimina quelle vecchie”, afferma Johnson. ‘Inoltre, gli aggressori traggono vantaggio dal fatto che non c’è modo di segnalare l’attacco dall’interfaccia dei siti’. Tutto sommato, Johnson chiede a Google di disattivare gli script e gli embed arbitrari nei siti, poiché sono un vettore di phishing troppo potente e pericoloso.
A tutto ciò si aggiunge il fatto che l’e-mail stessa, che sfrutta Google OAuth e la pratica di Google di usare “io” quando si riferisce alle proprie e-mail, è “molto più sofisticata e, a mio parere, un problema di sicurezza molto più grave da parte di Google”. Dopo aver scoperto tutti questi problemi di sicurezza, Johnson ha avvisato Google, che ha riconosciuto un errore su cui sta già lavorando: “Siamo a conoscenza di questo tipo di attacco diretto dall’autore delle minacce Rockfoils e abbiamo implementato delle protezioni nell’ultima settimana”, ha assicurato un portavoce di Google a Newsweek. “Queste protezioni saranno presto completamente implementate, il che eliminerà questa via di attacco”, confermano da Google.
