La diffusione delle email di phishing sta diventando un fenomeno sempre più preoccupante, con criminali informatici che affinano costantemente le loro tecniche per ingannare utenti e aziende. Un recente rapporto rivela quanto possa risultare convincente una truffa, con attestati falsi provenienti da colossi come Google e PayPal. Questa situazione evidenzia l’importanza di adottare alcune semplici precauzioni ogni volta che si riceve un’email che sembra richiedere una risposta immediata.

Comprendere il funzionamento degli attacchi di phishing

Un attacco di phishing consiste nell’invio di un’email fraudolenta che si spaccia per provenire da un’azienda o un’organizzazione conosciuta. Questi messaggi contengono solitamente un link che invita l’utente a effettuare il login per compiere un’azione presunto urgente. È frequente che l’email possa far leva sulla paura di una sicurezza compromessa, generando un senso di urgenza che spinge le persone a rispondere prontamente.

Una volta cliccato sul link, l’utente viene reindirizzato a una pagina web che simula fedelmente quella ufficiale, ma in realtà serve a raccogliere le credenziali di accesso. Aziende come Apple e Google implementano diverse misure per identificare e bloccare tali attacchi, ed esistono indicazioni che gli utenti possono seguire per riconoscere email sospette. Tuttavia, un rapporto di Bleeping Computer ha messo in luce una nuova tecnica astuta utilizzata per imitare Google e PayPal.

Una tecnica di attacco estremamente convincente

Nick Johnson, sviluppatore principale del servizio Ethereum Name Service , ha recentemente ricevuto una di queste email truffaldine. L’email sembrava provenire da Google e segnalava un’ingiunzione da parte di un’autorità giudiziaria chiedendo accesso ai contenuti del suo account Google. L’aspetto dell’email era apparentemente autentico: veniva fornita tra altre autentiche notifiche di sicurezza ed era corredata da una firma ufficiale di Google.

Tuttavia, l’attaccante ha creato una pagina di login falsa ospitata su un servizio di web hosting accessibile a chiunque. Utilizzando una strategia ingegnosa, l’ignoto criminale ha ricevuto un’email reale da Google, per poi inoltrarla con contenuti fraudolenti, facendo apparire il messaggio come se avesse superato i controlli di sicurezza standard.

L’email fraudolenta appariva proveniente da “no-reply@google.com”, riuscendo a superare il metodo di autenticazione DKIM. Johnson spiega che “il fatto che Google avesse generato l’email originale, firmata con una chiave DKIM valida, ha permesso di bypassare i controlli di verifica.” La debolezza nei sistemi di Google risiede nel fatto che i controlli DKIM verifichino solo il messaggio e le intestazioni, trascurando il contenitore. Di conseguenza, l’email falsa superava la validazione della firma, apparendo legittima nella casella di posta del destinatario. Inoltre, denominando l’indirizzo fraudolento me@, Gmail visualizzava il messaggio come se fosse stato consegnato direttamente al destinatario.

Anche la pagina di accesso era una copia esatta dell’originale. Google ha dichiarato di essere al lavoro per risolvere questa vulnerabilità, ma per il momento la minaccia rimane concreta. Una tecnica simile è stata osservata anche con PayPal, in cui un falso invito a donare alimentava la truffa facendola sembrare genuina.

Strategie di protezione per l’utente

Il passo più significativo per tutelarsi è quello di evitare di cliccare sui link presenti nelle email, anche se sembrano autentici. È preferibile utilizzare i propri segnalibri o digitare manualmente gli URL di siti conosciuti e affidabili.

Occorre prestare particolare attenzione alle email che suggeriscono un’immediata urgenza. Alcuni esempi comuni possono includere:

Avvisi che segnalano un compromesso del proprio account .

. Fatture che richiedono il pagamento di transazioni false, con link per annullarle.

false, con link per annullarle. Richieste di pagamento per tasse, pedaggi, ecc., che richiedono un’azione immediata.

Nel caso di Google, l’email fraudolenta affermava che un’autorità giudiziaria aveva emesso un’ingiunzione per accedere ai contenuti dell’account, invitando l’utente a presentare forme di opposizione.

Queste informazioni possono fare la differenza nella protezione contro attacchi sempre più sofisticati, sottolineando l’importanza di una navigazione consapevole e informata in un contesto digitale sempre più rischioso.