Un nuovo tipo di attacco informatico sta mettendo a rischio milioni di utenti Google in tutto il mondo. Questa sofisticata tecnica di phishing, conosciuta come attacco DKIM Replay, sfrutta una vulnerabilità nei protocolli di autenticazione delle email per inviare messaggi fraudolenti che appaiono completamente legittimi, superando tutti i controlli di sicurezza standard.
L’attacco è particolarmente insidioso perché riesce a far apparire i messaggi come se provenissero effettivamente da domini ufficiali di Google (come no-reply@google.com), ottenendo una validazione completa attraverso i protocolli di sicurezza DKIM e DMARC. Il risultato è un’email di phishing che appare autentica anche agli occhi degli utenti più esperti e dei sistemi di filtraggio più avanzati.
Come funziona l’attacco
Per comprendere la complessità di questo attacco, è necessario analizzare nei dettagli il suo funzionamento. Il DKIM (DomainKeys Identified Mail) è un protocollo di autenticazione email che consente al server mittente di allegare una firma digitale a un’email. Quando ricevuta, il server del destinatario utilizza la chiave pubblica del dominio mittente per verificare che l’email provenga effettivamente da quel dominio e non sia stata alterata durante il transito.
Ecco come gli attaccanti sfruttano questo meccanismo step by step:
Fase 1: Acquisizione di un’email legittima firmata DKIM
Il processo inizia quando l’attaccante riceve una vera email da Google, tipicamente proveniente dall’indirizzo no-reply@google.com. Questa email contiene una firma DKIM valida che certifica l’autenticità del messaggio. L’aggressore estrae e salva esattamente questa email, compresi tutti gli header e il corpo, senza modificare nulla di ciò che è stato firmato dal DKIM.
Fase 2: Creazione di un’app OAuth malevola
L’attaccante crea un’applicazione OAuth fraudolenta con un nome che contiene già un’esca di phishing. Questo è un passaggio chiave perché l’app OAuth genererà automaticamente notifiche di sicurezza legittime da parte di Google.
Fase 3: Generazione di una notifica di sicurezza autentica
Quando l’attaccante concede a questa app l’accesso al proprio account Google, il sistema Google invia automaticamente una notifica di sicurezza legittima. Questa notifica è effettivamente un’email autentica, firmata con DKIM valido da Google.
Fase 4: Inoltro del messaggio tramite servizio affidabile
A questo punto, l’attaccante inoltra questa email autenticata attraverso un servizio di inoltro mail affidabile, indirizzandola alla vittima prescelta. Poiché il contenuto del corpo rimane intatto, la firma DKIM originale è ancora valida e allineata con il dominio mittente e la chiave pubblica.
Fase 5: Bypass dei controlli di sicurezza
Dal momento che SPF e DMARC non sovrascrivono un risultato DKIM valido, l’email passa tutti i livelli di autenticazione, anche se proviene da un server non affiliato con Google. Il messaggio appare quindi come una comunicazione autentica di Google nella casella di posta della vittima.
La vulnerabilità sfruttata: il “replay” della firma DKIM
Il cuore di questo attacco sta in una lacuna fondamentale della sicurezza email: i messaggi firmati DKIM possono essere “ritrasmessi” (replay) fintanto che il corpo del messaggio rimane invariato. In pratica, se un malintenzionato ottiene accesso a un’email precedentemente legittima firmata DKIM, può riinviare quel messaggio esatto in qualsiasi momento, e questo continuerà a passare l’autenticazione.
Questa tecnica è particolarmente efficace perché gli attaccanti non devono falsificare un messaggio o imitare un dominio. Sfruttano invece l’infrastruttura stessa di Google per generare un’email autentica che contiene già elementi di phishing nell’applicazione OAuth, o link che portano a siti fraudolenti.
Come si presenta l’attacco all’utente finale
Quando l’utente riceve l’email, questa appare come una legittima notifica di sicurezza da Google. Il messaggio può contenere avvisi relativi all’accesso dell’applicazione OAuth al proprio account Google, o false comunicazioni riguardanti la sicurezza dell’account.
L’elemento più pericoloso è che questi messaggi contengono link che sembrano puntare a pagine di supporto o portali di Google, ma in realtà conducono a siti di phishing perfettamente replicati. Questi siti fraudolenti sono spesso ospitati su sottodomini che sembrano plausibili, aumentando ulteriormente la percezione di legittimità.
Una volta sul sito fraudolento, all’utente viene chiesto di inserire le credenziali del proprio account Google, che vengono immediatamente catturate dagli attaccanti, permettendo loro di accedere all’account della vittima.
Evoluzione e diffusione dell’attacco
Questo tipo di attacco è stato identificato per la prima volta ad aprile 2025 e si sta rapidamente diffondendo. Inizialmente mirato agli utenti di Google, sta ora espandendosi ad altri servizi. La tecnica è così sofisticata che persino utenti esperti di tecnologia e sicurezza informatica possono cadere nella trappola.
Gli esperti di sicurezza hanno osservato che questi attacchi stanno diventando sempre più elaborati, con pagine di phishing che replicano in modo quasi perfetto le interfacce ufficiali di Google. Inoltre, gli attaccanti stanno iniziando a personalizzare i messaggi per renderli ancora più convincenti, includendo informazioni specifiche sulle vittime.
Come proteggersi dagli attacchi DKIM Replay
Difendersi da questo tipo di attacco richiede un approccio su più livelli, poiché i tradizionali filtri antispam e antiphishing potrebbero non rilevare queste minacce. Ecco alcune misure concrete per proteggersi:
Verificare sempre l’URL prima di inserire credenziali
Prima di inserire le proprie credenziali in qualsiasi pagina, controllare attentamente l’URL nella barra degli indirizzi. I siti legittimi di Google utilizzano domini come accounts.google.com, e non sottodomini strani o domini di terze parti.
Utilizzare l’autenticazione a due fattori (2FA)
L’attivazione dell’autenticazione a due fattori per il proprio account Google fornisce un ulteriore livello di sicurezza. Anche se un attaccante ottiene la password, non potrà accedere all’account senza il secondo fattore di autenticazione.
Verificare le applicazioni autorizzate regolarmente
Controllare periodicamente le applicazioni e i servizi di terze parti che hanno accesso al proprio account Google. Questo può essere fatto visitando myaccount.google.com > Sicurezza > Accesso di terze parti.
Prestare attenzione ai messaggi di sicurezza
Anche se un messaggio sembra provenire da Google, è sempre consigliabile accedere direttamente al proprio account Google attraverso il browser o l’app ufficiale, piuttosto che seguire i link contenuti nell’email.
Utilizzare soluzioni di sicurezza avanzate
Considerare l’adozione di soluzioni di sicurezza avanzate che possono rilevare comportamenti sospetti e tentativi di phishing sofisticati. Gli strumenti di sicurezza email più moderni possono identificare anomalie anche in messaggi apparentemente autentici.
Formazione e consapevolezza
La formazione continua sulla sicurezza informatica è fondamentale. Essere consapevoli delle ultime tecniche di phishing e rimanere aggiornati sulle minacce emergenti può fare la differenza tra cadere vittima di un attacco o riconoscerlo e evitarlo.
Implicazioni tecniche e sfide per la sicurezza email
Questo tipo di attacco evidenzia una sfida fondamentale nella sicurezza delle email: i protocolli di autenticazione come DKIM, SPF e DMARC, sebbene efficaci contro molti tipi di spoofing, non sono progettati per contrastare i replay attack.
Il problema principale è che DKIM verifica solo che il contenuto dell’email non sia stato modificato dopo l’invio originale e che provenga effettivamente dal dominio dichiarato. Non verifica, tuttavia, se l’email è stata inoltrata o ritrasmessa attraverso server non autorizzati.
Gli esperti di sicurezza stanno lavorando a soluzioni che possano mitigare questo tipo di vulnerabilità, ma nel frattempo, la consapevolezza e la cautela rimangono le difese più efficaci.
Responsabilità condivisa nella sicurezza digitale
La protezione contro questi attacchi sofisticati richiede uno sforzo congiunto da parte di provider di servizi email, sviluppatori di soluzioni di sicurezza e utenti finali. Google e altri fornitori di servizi stanno lavorando per implementare contromisure contro questi attacchi, ma è essenziale che anche gli utenti facciano la loro parte.
Le aziende dovrebbero considerare l’implementazione di politiche di sicurezza più rigorose, inclusa la formazione regolare dei dipendenti sui rischi del phishing e sulle best practice di sicurezza informatica. Le organizzazioni più grandi potrebbero anche valutare l’adozione di soluzioni anti-phishing avanzate che utilizzano l’intelligenza artificiale per identificare messaggi sospetti.
Oltre Google: l’espansione della minaccia
Sebbene questi attacchi siano attualmente focalizzati principalmente sugli utenti Google, la stessa tecnica potrebbe essere applicata ad altri servizi che utilizzano OAuth e DKIM per l’autenticazione delle email. Servizi come Microsoft, Apple, e altre piattaforme cloud potrebbero diventare obiettivi futuri.
Gli utenti di tutti i servizi digitali dovrebbero quindi rimanere vigili e applicare le stesse precauzioni di sicurezza a tutte le comunicazioni elettroniche, indipendentemente dal mittente apparente.
Rimanere un passo avanti agli attaccanti
Gli attacchi DKIM Replay tramite Google OAuth rappresentano una nuova frontiera nelle tecniche di phishing, sfruttando in modo intelligente i protocolli di sicurezza esistenti per apparire legittimi. Mentre le aziende tecnologiche lavorano per risolvere queste vulnerabilità, è fondamentale che gli utenti rimangano informati e cauti.
La sicurezza online è un processo continuo, non una soluzione una tantum. Mantenendo aggiornate le proprie conoscenze sulle minacce emergenti e seguendo le best practice di sicurezza, è possibile ridurre significativamente il rischio di cadere vittima di questi attacchi sofisticati.
Ricordiamo che la prima linea di difesa contro il phishing è sempre la consapevolezza: se un’email richiede azioni urgenti, contiene link sospetti o richiede informazioni sensibili, è sempre meglio verificare attraverso canali ufficiali prima di procedere. La prudenza digitale non è mai eccessiva nell’era degli attacchi informatici avanzati.
Fonte: https://www.kaspersky.it/blog/dkim-replay-attack-through-google-oauth/29650
