Gmail e Google Docs, lanciato l'allarme Phishing

04 Maggio 2017 19

Un pericoloso attacco di phishing è in corso da poche ore in direzione di alcuni account Gmail: alcuni malcapitati proprietari di una casella di posta Gmail si sono visti recapitare una email spam che simula l'invito di condivisione di un documento su Google Docs, ma il vero intento è quello di rubare le credenziali dell'account.

L'attacco sembra essere particolarmente sofisticato: il nome del mittente che compare nell'oggetto della mail può corrispondere ad un contatto che effettivamente potremmo conoscere, tuttavia l'indirizzo mail "hhhhhhhhhhhhhhhh@mailinator.com" del mittente è del tutto sospetto.

Non solo: anche il link di reindirizzamento contenuto nella mail sembra pensato in modo da non fare troppo insospettire troppo il destinatario. Si tratta di una pagina appartenente al dominio di Google, non costruita ad hoc come molto spesso accade; al suo interno vengono richieste le credenziali d'accesso ad un'applicazione denominata "Google Docs".

Strano ma vero, si tratta di un'applicazione omonima che sfrutta il login di Google e richiede la concessione di permessi del tutto fuori misura: lettura scrittura, cancellazione e gestione della casella di posta Gmail e la gestione dei propri contatti. Daremo in questo modo pieno accesso al contenuto delle nostre mail, dati sensibili compresi, e consentiremo la facile espansione dell'attacco ai nostri contatti in rubrica.

La serietà dell'attacco è confermata dall'allerta lanciata dalla stessa società Alphabet e dalla veloce reazione di contrasto messa in atto:

Ci siamo attivati per proteggere i nostri utenti contro una mail di phishing che impersona Google Docs e abbiamo disabilitato gli account colpevoli. Abbiamo rimosso le pagine fake, rilasciato aggiornamenti tramite "Navigazione Sicura" e il nostro team sta lavorando per evitare il verificarsi futuro di simili episodi di spoofing. Invitiamo gli utenti a segnalare le email di phishing al team di Gmail.

L'allarme sembrerebbe essere rientrato, ma resta valido il consiglio di non aprire link di inviti a documenti di Google Docs se non si è sicuri della loro origine e del loro motivo d'invio.

Top gamma Sony al gusto prezzo? Sony Xperia Z5, compralo al miglior prezzo da Amazon a 309 euro.

19

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
takaya todoroki

E' palesemente colpa di Google che non dà una strumento per verificare l'identità di un soggetto in un momento tanto critico come quello in cui devi dare i permessi sui tuoi dati.
L'identità dello sviluppatore dell'app deve apparire grande e grossa (nell'immagine di vede che non c'è proprio!).

"ha bloccato l'applicazione in 2 ore poi"

chiunque può fare la stessa cosa con altre app e anche in maniera più subdola.
Questo metodo non va bloccato a posteriori, va prevenuto.

RiccardoC

ok ma anche nel caso ti arrivasse dal direttore, non ti insospettirebbe la richiesta insolita (ed anomala) di autorizzazioni (secondo step del phishing)?
In ogni caso non è così comune il tuo caso, per me è raro ricevere allegati non esplicitamente richiesti (qualche volta il commercialista)

Auron

generalmente su Dropbox, ma è capitato anche su drive

RiccardoC

ti manda dei documenti su file o dei link ai gdocs?

Auron

uhm si interessante, ma pensa a me: studente universitario e consigliere al dipartimento, il direttore del dipartimento mi manda spesso mail con documenti, perché questa avrei dovuto pensare fosse di phishing?

Mako

Non so, a chi dare la colpa in questo caso? Google non è che ha tutte quelle colpe, ha bloccato l'applicazione in 2 ore poi

takaya todoroki

Esatto.
Una volta arrivati a quella pagina (si assume che l'utente abbia cliccato su un link) diventa davvero difficile odorare l'inganno.
Nome legittimo, logo legittimo, richiesta come tante altre, il tutto su pagina legittima creata e firmata da Google.

Se bisognava odorare qualcosa, era da fare prima (all'arrivo dell'email).

Ma l'email è solo uno dei modi per sfruttare questo sistema....

stiga holmen

La pagina era quella di google per l'inserimento delle credenziali per dare l'autorizzazione all'app mi pare

takaya todoroki

"Scusa, ma un logo con scritto Google Docs lo puoi mettere ovunque...per
quello si consiglia sempre di vedere l'URL e se la pagina è
crittografata..."

non hai capito come funziona l'attacco ;)
La pagina era quella ufficiale di Google. Col certificato SSL di Google.
ho scritto un altro commento in cui si vede l'aspetto dell'attacco, ma non me lo hanno (ancora) approvato per via dell'immagine...

stiga holmen

Scusa, ma un logo con scritto Google Docs lo puoi mettere ovunque...per quello si consiglia sempre di vedere l'URL e se la pagina è crittografata...
Se poi ti cambiano i DNS, la frittata è fatta..a meno di indagare non si riuscirebbe a capire a colpo d'occhio se la pagina è vera o falsa.

takaya todoroki

E' stato un errore loro consentire a chicchessia di creare servizi che possono accedere alle API usando nomi generici perfino omonimi di quelli esistenti.
Nella fattispecie il servizio si chiamava "Google Docs", e infatti l'attacco è stato definito "fast-spreading" dalle testate anglofone, cosa che non accade mai per il phishing generico.

Nei prossimi giorni si vedrà cosa AVREBBERO dovuto fare: probabilmente rivedranno la politica dei nomi dei servizi terzi (vietando per esempio Google ed affini), mettendo magari in evidenza il certificato dello sviluppatore del servizio per informare l'utente dell'identià e aggiungendo qualche avviso prima che l'utente dia i permessi di accesso tramite API.

RiccardoC

vale sempre la solita precauzione; per quale motivo Tizio dovrebbe spedirmi un doc? Ed a quel punto controllo l'indirizzo del mittente e vedo cose strane... ed a quel punto clicco, ma sul tasto di "cancella"

Mako

Brecce di sicurezza... Google non viene bucata da non si sa quanto, non so neanche se sia mai stata bucata. Il phishing è un altro conto, e questo problema è stato risolto in sole 2 ore

Apocalysse

Quando distribuivano i cervelli, ho paura che fossi assente quel giorno ... Prova a recuperare studiando cos'è il phishing.

tuamadre

Tu si che sei un Hackerz! LOL la sicurezza informatica ha ancora molto da imparare da gente come te.

marco

Ma hai capito cosa c'è scritto o hai bisogno di un tutore? Non ci stai facendo bella figura

ErCipolla

Ma cosa stai dicendo?

Gli attacchi di phishing non sono una "breccia di sicurezza" del sistema, sono email normali ma dal contenuto truffaldino. A priori non si può saperlo, ovviamente poi quando vengono scoperte gli indirizzi in questione vengono bannati.

Sarebbe come dire che le Poste Italiane hanno una "breccia di sicurezza" perché uno può mandarti una lettera contenente una truffa... cosa ti aspetteresti, che il postino la apra e la legga prima di consegnartela?

stiga holmen

E dove sarebbe la breccia alla sicurezza nelle maglie di Google nel caso di una mail che ti chiede di cliccare su un link, e la pagina che visiti contiene il form di Google per autorizzare l'accesso alle tue info come fanno milioni di altri siti?

Qui il problema è che dall'altra parte non c'è un'azienda "normale" ma un gruppo di persone che farebbero danni con quei permessi concessi DIRETTAMENTE DALL'UTENTE...

Non ci saranno mai sistemi sicuri se l'utente è uno sc€mo...

Dan

Siamo alle solite. Mentre un manipolo di hacker, cracker, delinquenti comunque vogliate chiamarli, ha visto una breccia pazzesca nelle maglie di google per mettere a segno un attacco, neanche troppo sofisticato, per ottenere, invece, datii mportantissimi. Migliaia di dipenenti di google pagati per migliorare le funzioni ma anche la sicurezza dei loro servizi e comunque evitare di introdurre brecce simili nella sicurezza, non ci hanno pensato né prima né dopo. Tanto spesso in Google, come in Microsoft prima di loro, la grandezza della struttura (forse) li rende sempre più simili a un ministero dove l'apporto reale di ciascun dipendente è sempre inferiore man mano che passa il tempo e ne aumenta il numero complessivo.

Lo zaino dei sogni: oltre 5500€ di gadget tecnologici per veri maniaci | Video

TomTom Adventurer, il mio primo vero sportwatch

RECENSIONE DJI SPARK: tutto quello che dovete sapere | Limiti volo e Regole

Roaming Zero: tutto quello che c'è da sapere #report | Guida | Costi | Tariffe