Nuova ondata di phishing su Gmail: come riconoscere e difendersi dai truffatori

Nuova ondata di phishing su Gmail: come riconoscere e difendersi dai truffatori

Negli ultimi mesi, una nuova e particolarmente insidiosa ondata di phishing sta colpendo gli utenti di Gmail. Sfruttando vulnerabilità nei protocolli di autenticazione e strumenti sempre più sofisticati, i cybercriminali riescono a inviare email che sembrano provenire direttamente da Google, mettendo a rischio la sicurezza di milioni di account. In questo approfondimento analizzeremo nel dettaglio come funziona questa truffa, quali sono i segnali per riconoscerla e, soprattutto, come difendersi in modo efficace.

Cos’è il phishing e perché i truffatori colpiscono Gmail

Il phishing è una tecnica di ingegneria sociale che mira a ottenere informazioni sensibili — come password, dati bancari, numeri di carte di credito — inducendo l’utente a inserirli su siti falsi che imitano quelli di aziende note o servizi affidabili. Gmail, con oltre 1,8 miliardi di utenti nel mondo, rappresenta un bersaglio privilegiato. I criminali informatici sfruttano non solo la popolarità della piattaforma, ma anche le abitudini e la fiducia degli utenti nei confronti delle email a marchio Google.

Come funziona la nuova truffa phishing su Gmail

Questa nuova campagna di phishing su Gmail si distingue per l’alto livello di sofisticazione:

  • Finta email di sicurezza Google: tutto parte da un’email dal titolo allarmante, come “Security alert” o “Avviso di sicurezza”. Il mittente sembra essere no-reply@accounts.google.com e la firma è di Google stessa; l’indirizzo appare legittimo, così come i riferimenti ufficiali all’interno del messaggio.
  • Sito di supporto fasullo: cliccando sui link presenti nell’email, l’utente viene rimandato ad una pagina di supporto Google apparentemente autentica, ospitata persino su un sottodominio google.com (grazie a Google Sites).
  • Richiesta di azione urgente: la pagina invita a caricare “documenti aggiuntivi” o a “verificare il proprio account” per risolvere presunte anomalie.
  • Falsa pagina di login: seguendo la procedura, si atterra su una pagina che riproduce fedelmente l’interfaccia di login di Google, dove viene richiesto di inserire nome utente e password. In realtà, i dati vengono immediatamente inviati ai truffatori.
  • Compromissione dell’account: una volta ottenute le credenziali, i malintenzionati possono accedere a email, documenti, dati personali e persino utilizzarli per ulteriori attacchi contro i contatti della vittima.

Perché questa truffa è così efficace

Le novità di questo schema di phishing rendono difficile distinguere l’email falsa da una vera:

  • Uso di sottodomini Google reali: sfruttando Google Sites, gli hacker riescono a creare link apparentemente legittimi (sites.google.com/…), ingannando anche gli utenti più attenti.
  • Email con firma autentica: grazie alle vulnerabilità nei protocolli di autenticazione, la firma email sembra provenire davvero da Google.
  • Personalizzazione tramite AI: i testi delle email vengono spesso generati o raffinati con intelligenza artificiale, rendendoli privi di errori, personalizzati e difficili da individuare come sospetti.
  • Livello di urgenza e coinvolgimento emotivo: il messaggio fa leva su paura e necessità di agire rapidamente, spingendo l’utente a non riflettere prima di cliccare.

Tecniche di phishing emergenti nel 2025

Oltre allo schema sopra descritto, il panorama del phishing su Gmail si sta arricchendo di nuove tecniche:

  • Phishing con QR Code (“quishing”): email che includono un QR code da scansionare col cellulare, che rimanda a siti clone per il furto di credenziali.
  • Deepfake e messaggi vocali contraffatti: l’uso di video e audio manipolati per impersonare colleghi o superiori e convincere la vittima ad agire.
  • Clone phishing: invio di messaggi che copiano comunicazioni reali già avvenute tra utente e azienda.
  • Sfruttamento di funzionalità “smart” di Gmail: i truffatori usano le notifiche dinamiche per creare situazioni credibili e aggirare i filtri antispam.

Segnali per riconoscere un’email di phishing

Nonostante la sofisticazione degli attacchi, esistono indicatori che possono aiutare a individuare un tentativo di phishing:

  • Mittente mai visto prima, anche se sembra ufficiale.
  • Tono urgente o minaccioso, con richiesta di agire immediatamente.
  • Link che, passando il mouse sopra, rimandano a indirizzi sospetti o leggermente diversi da quelli ufficiali (ad esempio, un piccolo errore ortografico nel dominio).
  • Richiesta di inserire dati sensibili tramite link o moduli esterni.
  • Email inusuali da parte di servizi che normalmente non comunicano in quel modo (ad esempio Google che chiede la password via email).
  • Presenza di allegati strani o inattesi.

Cosa fare se si riceve un’email sospetta

  • Non cliccare mai sui link e non scaricare allegati provenienti da messaggi sospetti, anche se sembrano arrivare da Google.
  • Non rispondere mai direttamente all’email e non fornire dati personali.
  • Accedere manualmente al servizio: se ricevi una notifica relativa alla sicurezza del tuo account, apri una nuova finestra del browser e digita direttamente “google.com” per accedere senza passare dai link ricevuti per email.
  • Verificare la presenza di avvisi nell’account: molti servizi notificano intrusioni o verifiche direttamente nella dashboard del proprio account.
  • Segnalare l’email come phishing: in Gmail, basta aprire il messaggio, cliccare sui tre puntini e selezionare “Segnala phishing”.

Come rafforzare la sicurezza del proprio account Gmail

Ecco le principali strategie difensive consigliate da esperti e istituzioni di sicurezza:

1. Attiva la verifica in due passaggi (2FA)

Questa funzione aggiunge un secondo livello di protezione, generalmente tramite codice inviato via SMS o generato da app di autenticazione. Anche se qualcuno ottiene la tua password, senza il secondo fattore non potrà accedere all’account.

2. Utilizza password complesse e uniche

Crea password lunghe, con lettere, numeri e simboli. Non utilizzare mai la stessa password per più servizi. Considera l’uso di un password manager per generarle e gestirle in modo sicuro.

3. Aggiorna regolarmente le tue password

È buona norma cambiarle periodicamente, soprattutto se sospetti un accesso non autorizzato.

4. Controlla i dispositivi connessi e le app autorizzate

Nella sezione “Sicurezza” del tuo account Google puoi vedere la lista di dispositivi e app che hanno accesso al tuo account e revocare eventuali accessi sospetti.

5. Abilita la protezione avanzata di Google

Se sei soggetto a rischi superiori (ad esempio, giornalisti, attivisti, CEO), puoi utilizzare il programma di protezione avanzata offerto da Google.

6. Aggiorna e proteggi i tuoi dispositivi

Mantieni sempre aggiornato il sistema operativo e i software di sicurezza di smartphone e computer.

7. Attiva le notifiche di sicurezza

Google e altri servizi offrono notifiche in tempo reale per segnalare accessi sospetti o modifiche alle impostazioni importanti.

8. Attenzione alle richieste fuori dal normale

Google non chiederà mai di inviare password o codici tramite email, SMS o telefonate.

Consigli extra per aziende e professionisti

  • Formazione continua: organizza sessioni di sensibilizzazione periodica per i dipendenti, mostrando esempi concreti di phishing.
  • Simulazioni di phishing: utilizza servizi che inviano email di prova per testare e migliorare la reattività del personale.
  • Filtro avanzato delle email: implementa servizi di filtraggio e sicurezza di terze parti, basati su AI e machine learning, per rafforzare la protezione oltre i filtri base di Gmail.
  • Backup regolari: mantieni copie sicure dei dati più importanti, così da poterli recuperare anche in caso di compromissione dell’account.

Cosa fare se sei caduto nella trappola

Se hai inserito le tue credenziali su una pagina sospetta:

  1. Cambia subito la password di Gmail e di tutti gli altri servizi in cui utilizzi la stessa password.
  2. Attiva la verifica in due passaggi se non l’hai ancora fatto.
  3. Verifica l’attività dell’account: controlla se ci sono stati accessi da dispositivi o posizioni insolite.
  4. Revoca accessi sospetti a dispositivi e app non riconosciute.
  5. Segnala il phishing a Google tramite la funzione “Segnala phishing” nella tua casella Gmail.
  6. Avvisa i tuoi contatti di ignorare eventuali email sospette che potrebbero arrivare dal tuo account compromesso.

La nuova ondata di phishing che colpisce Gmail nel 2025 dimostra quanto i cybercriminali stiano affinando i propri strumenti, riuscendo a ingannare anche gli utenti più informati. Riconoscere i segnali di pericolo e applicare buone pratiche di sicurezza digitale sono oggi più che mai fondamentali. Solo così potrai proteggere il tuo account e i tuoi dati personali dalle trappole sempre più insidiose del web. Agisci con prudenza e sensibilizza chi ti sta vicino: la sicurezza digitale è una responsabilità condivisa.

Ricorda: non fidarti mai ciecamente di qualsiasi email, anche se sembra provenire da una fonte autorevole. In caso di dubbio, meglio un controllo in più che una password rubata!

Fonte: https://lifehacker.com/tech/dont-fall-for-this-new-gmail-phishing-scheme?utm_medium=RS

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto