Attenzione alle mail ricevute da Google, potrebbero essere un virus

C’è un nuovo attacco di phishing sta preoccupando gli esperti di cyberecurity. Proprio in questi giorni, infatti, gli hacker stanno sfruttando una vulnerabilità nel sistema OAuth di Google (il protocollo di autorizzazione che consente a un utente di concedere a siti o a app l’accesso alle proprie risorse protette, senza condividere la password) per inviare email truffa in grado di superare i normali sistemi di verifica.

Il risultato è un messaggio che appare come completamente legittimo ma che, in realtà, ha come unico scopo sottrarre le credenziali di accesso e informazioni personali degli utenti ignari.

Cosa sappiamo della nuova truffa

Le prime informazioni su questa nuova truffa arrivano da Nick Johnson, sviluppatore capo dell’Ethereum Name Service (ENS), che ha ricevuto un’email da Google, apparentemente autentica, che lo informava di una presunta richiesta legale di accesso ai suoi dati da parte delle forze dell’ordine. Il messaggio, generato da un’app OAuth malevola, era in tutto e per tutto identico a una notifica ufficiale ed è stato riconosciuto come tale anche dal servizio di posta elettronica.

Il funzionamento di questa nuova truffa è davvero sofisticato: per prima cosa gli hacker registrano un dominio, creano un account Google e sviluppano un’app OAuth con contenuti malevoli. Una volta attivata, l’applicazione in questione induce Google a generare una notifica di sicurezza reale, che viene poi inoltrata alla vittima, arrivando a bypassare i controlli di sicurezza più comuni.

Una delle chiavi del successo dell’attacco risiede nel replay DKIM, una tecnica che sfrutta il protocollo di autenticazione delle email DKIM (DomainKeys Identified Mail). In condizioni normali questo sistema verifica che un messaggio non sia stato modificato dopo l’invio da parte di un mittente autorizzato; in questo caso, però, gli hacker riescono a far apparire il messaggio come inviato da no-reply@google.com e firmato digitalmente da Google stessa e quindi perfettamente legittimo agli occhi del sistema di sicurezza

Oltre a questo, i cybercriminali hanno creato anche siti di phishing sui domini di Google, sfruttando la fiducia che gli utenti ripongono nei servizi dell’azienda di Mountain View. Il sito falso è stato creato con una grande perizia e replica precisamente le pagine ufficiali dei servizi di Big G, convincendo gli utenti di essere atterrati su una pagina legittima e cedendo alle richieste degli hacker.

Importante sottolineare che questa particolare tipologia di attacco non si limita all’ecosistema Google e nelle settimane passate sono state identificate campagne simili anche su altre piattaforme, come PayPal, ad esempio.

Come proteggersi da questa nuova minaccia

Fino a quando Google non avrà implementato una soluzione strutturale, gli esperti di sicurezza raccomandano la massima cautela, consigliando agli utenti di verificare con attenzione le autorizzazioni concesse alle app tramite OAuth.

Oltre a questo è bene anche non fidarsi ciecamente delle email che sembrano provenire da Google o da altre fonti ufficiali e verificare sempre con una ricerca sul web.

Infine, in caso di dubbi è consigliabile anche controllare regolarmente la sezione Sicurezza del proprio account Google e revocare eventuali accessi sospetti.