Nel pomeriggio di mercoledì un gigantesco attacco phishing ha scosso internet colpendo un’enorme quantità di account Google.
Diverse persone provenienti da settori lavorativi diversi hanno segnalato di aver ricevuto delle email contenenti ciò che sembrava essere un link a un Google Docs apparentemente proveniente da persone di loro conoscenza. Si trattava, però, di email malevole pensate per prendere il controllo dei loro account.
Videos by VICE
Se avete cliccato sul link, andate sulla pagina del vostro account Google (https://myaccount.google.com/permissions) in cui potete gestire i permessi che avete concesso alle varie app (oppure passate per l’intero Google Security Checkup). Dopodiché trovate la app “Google Docs”. Sembra genuina, ma in realtà non lo è. Se è la app malevola che ha ottenuto accesso al vostro account dopo aver cliccato sul link dovrebbe presentare una “Ora di Autorizzazione” recente. Ora, clicca su quella app di Google Docs e poi clicca su “Rimuovi”.
Le email malevole erano tutte uguali a quella qui sotto, ed erano indirizzate a “hhhhhhhhhhhhhhhh@mailinator.com” con gli altri destinatari oscurati.
Diverse persone all’interno di VICE hanno ricevuto email simili. Queste email arrivano da persone che potresti conoscere o che potrebbero essere nei tuoi contatti. A giudicare da ciò che dicono le persone su Twitter, sembra che questo attacco si sia verificato davvero un po’ ovunque.
Quindi, se avete ricevuto una email come questa, non cliccate sul link e informate il vostro addetto alla sicurezza informatica (o i vostri amici che sono finiti infettati) dell’attacco.
Non è chiaro come effettivamente funzioni questo tipo di attacco al momento, ma sembra essere altamente sofisticato. Un utente di Reddit ha scritto un buon sunto di ciò che succede esattamente quando clicchi sul bottone di Google Docs. In poche parole, quando clicchi sul link, la schermata di login viene caricata su un dominio Google genuino, ma quel dominio chiede di fornire accesso a una app chiamata Google Docs che non è il vero Google Docs.
La app “Google Docs” legge tutti i tuoi contatti e le tue mail e dopodiché si auto-propaga inviando altre email.
Abbiamo anche ricevuto dei report secondo cui anche Google Drive è finito offline, e abbiamo avuto prova di diverse problematiche noi stessi, ma non possiamo ancora confermare se si tratti di un fenomeno legato a questo attacco. (Si tratterebbe di una gran bella coincidenza, anche se Google Drive ora sembra essere tornato a funzionare).
Circa un’ora dopo che i primi report di email di phishing hanno cominciato a girare, sembra che Google sia riuscito a bloccare la diffusione delle email. Un mio collega mi ha inoltrato la email di phishing verso un account Google usa-e-getta da diversi indirizzi diversi, e la mail non è stata inviata.
Inoltre, qualcuno che si è identificato come un impiegato di Google ha detto in un thread su Reddit che il problema “è ora risolto.” E che il link di phishing originale non funziona più per diversi utenti.
“Abbiamo preso dei provvedimenti per proteggere i nostri utenti da una catena di email che sembrava provenire da Google Docs, e abbiamo disabilitato gli account da cui è partito l’attacco,” ha spiegato Google in una dichiarazione inviata a Motherboard. “Abbiamo rimosso le pagine false e forzato questi aggiornamenti attraverso Safe Browsing, il nostro team dedicato sta lavorando per far sì che questo tipo di problematiche non si ripetano più. Incoraggiamo gli utenti a segnalare ogni email di phishing su Gmail.”
Stiamo cercando di capire come queste email di phishing si siano diffuse e chi ci sia dietro.
Jason Koebler ha contribuito a questo articolo.
