Occhio al phishing su Gmail, a rischio anche gli 'utenti con esperienza tecnica'

Occhio al phishing su Gmail, a rischio anche gli 'utenti con esperienza tecnica'

Un nuovo caso di phishing su Gmail viene considerato come "il più sofisticato mai usato". In realtà si tratta di una tecnica non recentissima, rifinita per sfuggire ai sistemi di Google

di Nino Grasso pubblicata il , alle 14:01 nel canale Sicurezza
Google
 

È sempre più difficile riconoscere le cosiddette e-mail di phishing, ovvero quei messaggi fraudolenti che si presentano come comunicazioni di servizi affidabili cercando di convincere l'utente a fornire informazioni personali o dati d'accesso. E se diventa difficile per noi, che più o meno siamo a stretto contatto con la tecnologia quotidianamente, figuriamoci gli effetti devastanti che questi messaggi possono avere su utenti che non conoscono quello che c'è dietro al funzionamento di un servizio. E l'ultimo caso di phishing su Gmail è un esempio lampante di phishing fatto "bene".

Gli utenti del servizio di e-mail di Google sono potenziali vittime di attacchi di phishing che cercano di ottenere le credenziali d'accesso all'account Google stesso. Per ingannare l'utente si utilizza un'immagine integrata nel corpo del messaggio che raffigura l'interfaccia di ricezione di un allegato PDF, ma che in realtà non è altro che un link che porta ad una pagina esterna. Cliccando sull'immagine per aprire l'allegato, si viene condotti in realtà verso una pagina che somiglia in tutto e per tutto alla schermata di log-in al proprio account Google.

Una pagina che abbiamo visto innumerevoli volte, che conosciamo bene e di cui ci fidiamo ciecamente. Ed è così che siamo spinti ad inserire senza pensarci troppo le nostre credenziali d'accesso, fornendole senza volerlo al cybercriminale di turno. L'account diventa compromesso e l'aggressore può accedere ai contatti e diffondere con l'e-mail estorta lo scam utilizzando le conversazioni dell'utente e allegati apparentemente innocui. In questo modo i messaggi di frode diventano ancora più convincenti e la truffa può diffondersi velocemente.

Si tratta di un attacco di origini non recentissime dal momento che risalgono ad alcuni anni fa i primi casi che adottavano strategie non troppo differenti. Tuttavia nelle scorse ore è stata riportata online una nuova ondata di attacchi, e Google non sembra ancora aver corretto le pagine incriminate con i canonici messaggi di avviso, progettate appositamente per avvisare l'utente che sta navigando in acque poco sicure. La nuova ondata è stata scoperta da Mark Maunder, CEO di Wordfence, che ha sottolineato come sia stata in grado di convincere anche "utenti con esperienza tecnica".

"Una volta che ottengono l'accesso al tuo account gli aggressori hanno anche il pieno accesso alle tue e-mail incluse quelle inviate e ricevute, e possono scaricarle tutte", ha dichiarato il dirigente del servizio di sicurezza. "Quando controllano il tuo indirizzo possono compromettere anche una serie di altri servizi utilizzando il meccanismo di reset delle password". Su Hacker News si legge di un amministratore di sistema per una scuola che ritiene questo attacco "il più sofisticato mai visto": colpiti in quel caso tre impiegati e un numeroso gruppetto di studenti.

Per riconoscere l'attacco è sufficiente verificare che nella pagina di accesso di Google l'URL (l'indirizzo web della pagina che si può leggere nella barra degli indirizzi) non sia preceduto dal prefisso "data:text/html". Tale prefisso indica che la pagina è compromessa, e che non deve essere inserito alcun dato d'accesso al suo interno. Un altro modo per proteggersi è attivare l'autenticazione a due fattori su Google, cosa che impedisce l'accesso al proprio account ad un utente malintenzionato anche qualora quest'ultimo venisse in possesso della password.

19 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Bivvoz17 Gennaio 2017, 14:04 #1
Beh se hai un minimo di esperienza tecnica hai messo il doppio passaggio.
Ago7217 Gennaio 2017, 14:07 #2
Originariamente inviato da: Bivvoz
Beh se hai un minimo di esperienza tecnica hai messo il doppio passaggio.


Infatti, non riesco a capire se tale attacco bypassa anche la verifica in due passaggi
Bivvoz17 Gennaio 2017, 14:19 #3
Originariamente inviato da: Ago72
Infatti, non riesco a capire se tale attacco bypassa anche la verifica in due passaggi


Non credo possa.
YetAnotherNewBie17 Gennaio 2017, 14:31 #4
Ok il doppio passaggio.
Inoltre, se nel browser in uso ho abilitato il salvataggio delle credenziali dei siti, apro per sbaglio il sito farlocco e non mi compaiono i campi username e password precompilati, sono allertato che qualche cosa non va.
Spawn758617 Gennaio 2017, 14:31 #5
Originariamente inviato da: Bivvoz
Non credo possa.


"Una pagina che abbiamo visto innumerevoli volte, che conosciamo bene e di cui ci fidiamo ciecamente."

Quindi immagino abbiano fatto una pagina uguale a quella basilare, senza il doppio passaggio (che in ogni caso rende inattaccabile il tuo account anche se ti fregano la password... a meno che non ti fregano il cellulare XD)
fraussantin17 Gennaio 2017, 14:57 #6
Originariamente inviato da: Bivvoz
Non credo possa.


potrebbe in tempo reale usare le credenziali immesse per attivarle su google , farti inviare da google l'sms , e tu lo inserisci sul sito fake , e loro hanno un codice non usato , per connettersi a google.

ma poi ? cacchio ci fanno ? il codice si usa una volta e basta , se provi a cambiare pw o telefono servono altri codici , quindi ?
djfix1317 Gennaio 2017, 15:12 #7
apparte che non capisco il meccanismo del pdf...ma se il pdf è allegato si apre e punto, se mi rimanda a siti web io chiudo e verifico la mail in altra maniera, se poi non mi aspetto pdf da nessuno cestino la mail immancabilmente. quindi perchè dovrebbe mettere a rischio utenti prouser?
Nightingale17 Gennaio 2017, 15:47 #8
No, non capisco nemmeno io la potenza dell'attacco... ok incorporare un pezzo in fono alla mail che corrisponde alla grafica di un allegato pdf, fin lì la trovo furba. Ma nel momento in cui clicco su un allegato di un messaggio nella mia posta, e mi si presenta di nuovo la login, suona un campanello di allarme bello grosso!
The_Silver17 Gennaio 2017, 16:38 #9
La potenza dell'attacco espressa nell'articolo sta nel fatto che serviva un titolo clickbait, punto.
KampMatthew17 Gennaio 2017, 17:29 #10
Originariamente inviato da: The_Silver
La potenza dell'attacco espressa nell'articolo sta nel fatto che serviva un titolo clickbait, punto.


Ma non è che servisse un titolo clickbait. TUTTI i titoli su HW sono clickbait.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^