Phishing, il nuovo volto degli attacchi: Google come esca perfetta

Google come esca perfetta: phishing, il nuovo volto degli attacchi

I cybercriminali stanno rendendo le loro truffe di phishing sempre più credibili grazie a una tecnica sofisticata: l’uso dei reindirizzamenti aperti (“open redirect”) sui servizi Google e altre piattaforme affidabili. In questo modo le email truffaldine appaiono sicure perché i link sembrano provenire da Google, ma portano invece a siti malevoli progettati per rubare credenziali o installare malware. Questa tecnica si sta diffondendo a velocità allarmante e colpisce utenti privati, aziende e servizi pubblici.

Consigli/azioni semplici:

  • Non fidarti dei link anche se appaiono da Google: verifica sempre l’indirizzo prima di cliccare.
  • Controlla le URL nei messaggi sospetti: i veri siti bancari, della pubblica amministrazione o di servizi digitali non reindirizzano tramite Google o servizi esterni.
  • Aggiorna antivirus e filtri delle email: mantieni sempre attivi strumenti di protezione, e se disponibile, sfrutta sistemi che esaminano anche i redirect.
  • Mai inserire credenziali tramite link ricevuti via email: accedi sempre manualmente dal sito ufficiale.

L’evoluzione del phishing: il “trucco” del redirect aperto

Il phishing è una delle minacce informatiche più radicate: consiste nell’ingannare la vittima tramite email, sms o siti web che appaiono legittimi, inducendola a rivelare informazioni sensibili come password, dati bancari e codici di autenticazione. Da anni, però, la tecnica dei criminali si evolve e oggi punta sulle vulnerabilità dei sistemi di redirect ospitati sui siti più famosi—primo fra tutti Google, ma anche piattaforme di tracking email, pubblicità, social e servizi marketing.

Come funziona l’attacco

  • La vittima riceve un’email o messaggio di testo con un link che sembra innocuo perché inizia con google.com/url?… o contiene domini Google noti.
  • Cliccando, l’utente viene prima portato realmente su un URL di Google; qui Google effettua una redirezione automatica verso un sito esterno.
  • L’utente, fidandosi del dominio Google, non sospetta nulla, ma si trova invece su un sito maligno identico a quello di banche, PagoPA, servizi di pagamento, social, cloud, ecc.
  • Qui viene indotto a inserire password, OTP, dati bancari, o scaricare un allegato che trasferisce malware o ransomware.

Questa pratica sfrutta la funzione dei redirect “aperti” (open redirect): pagine web che, tramite un parametro nell’URL, rimandano automaticamente a un sito scelto dall’attaccante, senza controllarne la legittimità. Gli hacker beneficiano anche della “buona reputazione” degli indirizzi Google che superano facilmente i filtri dei gateway di sicurezza delle mail aziendali (SEG), riuscendo così a raggiungere anche utenti in aziende o PA protette da sistemi avanzati.

Varianti recenti: doppio redirect, CAPTCHA e abuso di nuovi servizi Google

Nel 2024 è stato osservato un aumento di tecniche ancora più sofisticate:

  • Doppio redirect Google: la catena di reindirizzamenti sfrutta due domini Google di seguito (es. da google.com/url a google.com/amp/s/…), per mascherare ulteriormente la destinazione reale, aggirando sia i sistemi automatici sia quelli manuali di controllo.
  • Abuso di Google AMP e servizi simili: Google AMP (Accelerated Mobile Pages), Google Maps, Google Translate, Google Web Light e anche “notifications.google.com” sono utilizzati come step intermedi per nascondere il vero link malevolo.
  • CAPTCHA in mezzo al percorso: cliccando il link inserito nella mail di phishing, spesso la vittima si trova davanti una schermata di CAPTCHA apparentemente legittima resa tramite Google; una volta superata manualmente, viene portata sulla pagina fraudolenta. Questo escamotage blocca anche eventuali scanner automatici dei filtri di sicurezza che non possono superare il CAPTCHA.
  • Sfruttamento di piattaforme pubblicitarie e di tracking di terzi: link tramite servizi come DoubleClick (di Google), krux.net (Salesforce) o altri che sono “whitelistati” dai filtri, ma che a loro volta reindirizzano al sito malevolo.
  • Abuso di notifiche push e link social tramite servizi autentici (ad esempio, campagne che simulano allarmi dai social network per indurre all’azione immediata).

Perché è difficile bloccare questi attacchi

  • I sistemi di sicurezza aziendale (antivirus, email gateway, filtri web) tendono a “fidarsi” dei domini Google, dei servizi pubblicitari e dei tracciatori diffusi, lasciando passare i redirect senza esame approfondito.
  • Gli URL dei redirect possono essere generati ad hoc, cambiare rapidamente o sfruttare domini Google con TLD geografici (.fr, .br, .sg…) per eludere blacklist e controlli statici.
  • Le tecniche di elusione, tra cui inserimento di CAPTCHA e suddivisione dei link tramite tag HTML avanzati, impediscono ai sistemi automatici di tracciare fino al vero sito finale.
  • L’uso di tecniche grafiche (ad esempio, immagini HTML con link incorporato) aggira i filtri che analizzano solo il testo.

Esempi di phishing reali con redirect Google

Negli ultimi mesi, diverse campagne mirano a imitare il look di pagamenti elettronici (come PagoPA), portali bancari, servizi cloud, piattaforme social (Meta/Facebook/Instagram), con email che annunciano ad esempio tentativi di accesso non autorizzato o inviti a scaricare fatture/documenti.

L’utente, spinto dall’urgenza della comunicazione e dalla presenza di loghi e nomi realmente riconoscibili (oltre a una vera URL Google come primo passaggio), è portato a fidarsi e a “mettere le proprie credenziali al sicuro”—esattamente quello che non dovrebbe fare.

Rischi per enti pubblici, aziende e cittadini

I rischi sono molteplici e crescenti:

  • Perdita di credenziali: l’accesso a servizi finanziari, email o sistemi PA può essere compromesso.
  • Infezioni da malware: tramite download “truccati” di fatture o documenti richiesti dal sito truffa, si rischia l’installazione di trojan, ransomware e keylogger.
  • Frodi economiche: con l’accesso ad account PagoPA, bancari o cloud, i criminali possono sottrarre fondi, alterare IBAN destinatari o rubare dati riservati.
  • Danni di reputazione: vittime tra cittadini, aziende e PA, con danni di immagine, perdita di fiducia e obblighi di notifica alle autorità di violazione dati.

Come difendersi: strategie di prevenzione efficace

Consigli/azioni più approfondite:

  • Verifica sempre la destinazione finale dei link: anche se l’URL inizia con google.com o un altro sito affidabile, se dopo il simbolo “?” compare ‘url=’ o ‘q=’, presta attenzione: tutto ciò che segue può essere controllato da un attaccante.
  • Impara a riconoscere i segnali del redirect: le URL sospette sono spesso molto lunghe, con caratteri e codici complessi dopo la vera destinazione.
  • Evita di accedere a link in email non sollecitate: se ricevi comunicazioni urgenti apparentemente da banca, PA o servizi digitali, accedi sempre dal portale ufficiale digitando l’indirizzo sul browser, mai dai link ricevuti.
  • Utilizza autenticazione a più fattori (MFA): anche se una password viene rubata, il secondo livello di sicurezza può bloccare l’accesso.
  • Formazione continua: promuovi la consapevolezza sulle minacce tra colleghi, amici e familiari; i criminali cambiano spesso strategia, la miglior difesa è l’occhio critico.
  • Aggiornamento costante: mantieni sistemi e applicazioni aggiornate, specialmente browser e client di posta che integrano nuovi filtri anti-phishing.
  • Contatta le autorità in caso di dubbio: segnala casi sospetti al CERT nazionale, Garante Privacy o polizia postale.

Ricorda: la reputazione di Google e di altri servizi affidabili è spesso sfruttata per abbassare la guardia delle vittime. L’informazione e la prudenza sono il miglior scudo contro i nuovi phishing tramite redirect aperto.

Fonte: https://www.cybersecurity360.it/news/phishing-contro-pagopa-lopen-redirect-di-google-usato-come-esca-perfetta

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto