Non è raro che un’email di phishing riesca a passare inosservata, ma è decisamente meno comune che lo faccia usando in modo così sofisticato gli strumenti della stessa azienda bersaglio. Lo sviluppatore Nick Johnson ha portato alla luce un caso clamoroso: una finta comunicazione da Google, tanto ben costruita da superare indisturbata i filtri di sicurezza di Gmail.
Gmail aggirata da truffatori con un’email phishing
Come racconta lo sviluppatore su X, l’email, inviata da un mittente apparentemente autentico – “no-reply@accounts.google.com” – non presentava segnali d’allarme, né avvisi visivi, né anomalie evidenti. Rimandava a una pagina ospitata su Google Sites, il servizio ufficiale dell’azienda per creare siti web, dove l’utente trovava una falsa interfaccia di supporto tecnico, con opzioni cliccabili che portavano a una pagina di login contraffatta.
La sofisticazione dell’attacco risiede nel modo in cui gli aggressori hanno usato il sistema di autorizzazione di Google. Hanno registrato un dominio, creato un account collegato, realizzato un’app Open Authorization (OAuth) personalizzata e poi configurato l’intero messaggio di phishing come nome dell’app stessa.
Il trucco geniale? Concedere al proprio account l’accesso all’app, così da generare un’email di sicurezza autentica, inviata da Google. Quest’ultima è stata poi inoltrata alle vittime, che, ricevendo una comunicazione credibile e proveniente da un indirizzo ufficiale, erano più inclini a fidarsi e a cliccare. L’intera operazione ha sfruttato i canali legittimi di Google, aggirando qualsiasi sospetto.
Johnson ha denunciato due falle cruciali: la possibilità per chiunque di inserire script e contenuti interattivi su Google Sites, e il fatto che l’email, pur provenendo da un indirizzo privato (privateemail.com), risultasse firmata da Google.
Inizialmente, l’azienda ha liquidato il problema come “comportamento intenzionale”, chiudendo il bug report senza ulteriori spiegazioni. Ma l’ondata di critiche e l’eco mediatica hanno costretto Google a rivedere la sua posizione, annunciando l’intenzione di intervenire.
