Nuovo attacco phishing aggira l’autenticazione a più fattori su Gmail

Nuovo attacco phishing aggira l’autenticazione a più fattori su Gmail

Nuovo attacco phishing aggira l’autenticazione a più fattori su Gmail: come funziona e come proteggersi

Negli ultimi mesi, una nuova ondata di attacchi phishing altamente sofisticati ha colpito utenti Gmail di alto profilo, riuscendo a compromettere la sicurezza anche di quegli account protetti dall’autenticazione a più fattori (MFA o 2FA). I dettagli emersi dalle indagini dei principali team di sicurezza informatica tracciano una tecnica tanto ingegnosa quanto insidiosa: l’uso di password specifiche per le app, richieste alle vittime tramite mirate campagne di social engineering.

Che cos’è una password specifica per le app?

Quando si attiva l’autenticazione a due fattori sul proprio account Google, alcune applicazioni meno recenti o considerate meno sicure non sono in grado di supportare il normale flusso di login tramite MFA. Per garantire la compatibilità, Google permette di generare delle password specifiche per le app — codici unici utilizzabili solo da determinate applicazioni, che offrono l’accesso all’account senza richiedere il secondo fattore.

Sebbene questa soluzione sia nata per consentire l’uso di app legacy o dispositivi particolari, rappresenta anche un potenziale punto debole che può essere sfruttato in modo malevolo.

La nuova strategia di attacco: phishing mirato e social engineering

Il gruppo di hacker identificato come UNC6293, probabilmente legato ad APT29 (conosciuti anche come Cozy Bear o Nobelium), ha orchestrato un attacco di phishing su misura, rivolto a ricercatori, accademici e critici della Russia. L’obiettivo principale era ottenere l’accesso alle loro caselle Gmail nonostante la protezione offerta dalla MFA.

Il metodo utilizzato prevede i seguenti passaggi:

  • Invio di email false altamente credibili: I hacker fingono di essere funzionari di istituzioni autorevoli, come il Dipartimento di Stato USA, inserendo dettagli personalizzati e molte informazioni reali sulle vittime per rendere la comunicazione autentica.
  • Guadagnare la fiducia della vittima: Attraverso un fitto scambio di messaggi ben congegnati e mai frettolosi, gli attaccanti costruiscono un rapporto di fiducia che aumenta la probabilità di successo del raggiro.
  • Richiesta della generazione e consegna della password specifica per le app: A un certo punto, i criminali convincono la vittima a creare e condividere una password specifica per un’applicazione, con la scusa di dover accedere per motivi lavorativi o urgenti.
  • Aggiramento della MFA e accesso illecito: In possesso di questa password, i malintenzionati possono collegare un’app all’account Gmail della vittima, superando così la barriera della verifica a due fattori.

Perché questi attacchi sono così efficaci?

L’efficacia di tali campagne si basa sulla loro capacità di personalizzazione e sulla cura maniacale dei dettagli. I messaggi non presentano errori grammaticali o indizi evidenti di truffa, e il contatto avviene spesso su canali o tramite identità di difficile verifica. La social engineering avanzata sfrutta la psicologia della vittima, portandola ad abbassare la guardia.

Nei casi emersi tra aprile e giugno 2025, le vittime hanno spesso accettato di generare e trasmettere la password d’app perché convinte di interagire con figure istituzionali reali.

Conseguenze e rischi per utenti privati e aziende

Una volta ottenuto l’accesso all’account Gmail, gli hacker possono:

  • Esfiltrare informazioni sensibili, email riservate e allegati
  • Sfruttare l’account compromesso per altri attacchi a catena, sia personali che aziendali
  • Diffondere ulteriore phishing e malware ai contatti della vittima
  • Accedere a servizi collegati all’account Google, come Drive, Foto e altri dati critici

Secondo i più recenti report sulla sicurezza, il phishing rappresenta ancora la causa principale di violazioni aziendali, con danni medi che superano i 4 milioni di dollari per ogni incidente.

Come difendersi: consigli pratici e strategie di prevenzione

Se da una parte è fondamentale mantenere alta la soglia di attenzione contro queste nuove minacce, dall’altra è possibile mettere in atto una serie di misure pratiche per rafforzare la protezione del proprio account Gmail.

1. Non condividere mai password specifiche per le app

Nessuna entità legittima, sia pubblica che privata, richiederà mai a un utente di generare e condividere una password specifica per le app, tanto meno tramite email o messaggi non verificabili. Se ricevi una richiesta di questo tipo, considera il messaggio come sospetto e segnala subito l’accaduto.

2. Mantieni aggiornati i sistemi e le app

Aggiorna regolarmente tutti i dispositivi e le applicazioni che usi per accedere a Gmail. Google lavora costantemente per rafforzare la sicurezza: utilizzare versioni obsolete di client o sistemi operativi può esporre a rischi evitabili.

3. Disattiva la generazione delle password specifiche per le app se non necessarie

Accedi alle impostazioni di sicurezza del tuo account Google e verifica se le password per app sono effettivamente necessarie. Disattiva questa funzione se non la utilizzi. In alternativa, valuta di revocare tutte le password d’app già create.

4. Verifica periodicamente i dispositivi e le app collegati al tuo account

Google fornisce una panoramica dei dispositivi e delle applicazioni che hanno accesso al tuo account. Controlla spesso questa lista e rimuovi immediatamente eventuali accessi sospetti o non riconosciuti.

5. Abilita e verifica le notifiche di accesso

Imposta Gmail per ricevere notifiche ogni volta che viene effettuato un nuovo accesso al tuo account da un dispositivo sconosciuto o da una posizione insolita. Questo ti permette di agire tempestivamente in caso di attività anomala.

6. Forma il personale e sensibilizza i colleghi

Nelle aziende e negli enti di ricerca, è fondamentale organizzare regolarmente sessioni di formazione sulla sicurezza, incentrate sulle nuove tecniche di phishing e sulle best practice per la gestione delle credenziali.

7. Usa gestori di password e verifica la presenza di phishing

Utilizza un password manager affidabile per generare e archiviare password sicure, in modo da non doverle mai comunicare manualmente. I gestori moderni integrano anche controlli automatici sui siti visitati, aiutando a evitare le trappole del phishing.

8. Attiva le protezioni avanzate di Google

Per chi gestisce dati particolarmente sensibili, è consigliato valutare il programma di Protezione Avanzata di Google, che include misure di sicurezza aggiuntive come chiavi hardware di autenticazione, controlli rafforzati sulle applicazioni e accesso più restrittivo.

Come riconoscere un tentativo di phishing avanzato

Riconoscere attacchi di questa portata non è sempre facile, ma alcuni segnali possono aiutare:

  • Richieste insolite anche se apparentemente legittime: Ogni richiesta che esula dalla normale routine va verificata, specialmente se riguarda dati di accesso.
  • Pressioni indirette e urgenza non giustificata: Anche quando mascherate da “collaborazione” o “urgenza istituzionale”, domande insistenti su credenziali sono sospette.
  • Indirizzi email o domini che non corrispondono perfettamente: Anche una differenza di una sola lettera nel dominio può indicare un tentativo di spoofing.
  • Messaggi troppo personalizzati: Quando un messaggio contiene informazioni dettagliate o riferimenti poco noti, può trattarsi di spear phishing, ovvero un attacco mirato.

Le nuove tendenze del phishing: AI e automazione

Secondo i più recenti report, gli hacker stanno sfruttando sempre di più strumenti di intelligenza artificiale (AI), capaci di generare email di phishing virtualmente perfette, senza errori e con una personalizzazione mai vista prima. Piattaforme come WormGPT e FraudGPT permettono di creare migliaia di campagne diversificate, aumentando in modo esponenziale le probabilità di successo degli attacchi anche contro utenti attenti.

Le nuove generazioni di phishing possono includere:

  • Email apparentemente inviate da colleghi o superiori, con richieste insolite ma realistiche
  • Allegati malevoli che installano malware in modo invisibile
  • Link a pagine di login falsificate, con grafiche indistinguibili dagli originali

Cosa fare se credi di essere stato colpito

Se sospetti di aver condiviso una password specifica per le app o noti accessi non autorizzati al tuo account Gmail:

  1. Cambia immediatamente la password principale dell’account Google.
  2. Revoca tutte le password specifiche per le app e disattiva la loro generazione.
  3. Disconnetti tutti i dispositivi e le app collegate non riconosciute.
  4. Attiva misure di sicurezza rafforzate sull’account (come la Protezione Avanzata).
  5. Segnala l’accaduto al team di sicurezza IT e a Google tramite la funzione di segnalazione account compromesso.
  6. Verifica che non siano stati installati malware sui dispositivi utilizzati per accedere all’account.

Il phishing continua a rappresentare la minaccia principale per la sicurezza degli account Gmail, anche in presenza di sistemi avanzati come l’autenticazione a più fattori. La nuova tecnica che sfrutta le password specifiche per le app dimostra come la formazione continua e una buona conoscenza delle funzionalità di sicurezza siano essenziali per proteggersi.

Ogni utente, privato o aziendale, deve adottare una mentalità proattiva: verificare sempre le richieste insolite, conoscere i punti deboli dei sistemi di autenticazione e aggiornarsi periodicamente sulle nuove minacce è la chiave per difendersi in un panorama cyber in continua evoluzione.

Fonte: https://www.punto-informatico.it/nuovo-attacco-phishing-aggirare-mfa-gmail

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto