LOGIN
In Breve (TL;DR)
- Un attacco hacker ha colpito Gmail con i truffatori che si spacciano per operatori Google, cercando di ottenere i codici 2FA via telefono per accedere agli account.
- Google ha rafforzato la sicurezza, ricordando che non chiederà mai codici via chiamata e consiglia di usare metodi avanzati come Passkey o chiavi hardware.
Gli account di posta elettronica (personali o professionali) custodiscono una vasta gamma di informazioni sensibili che, se finissero nelle mani dei cybercriminali, potrebbero avere conseguenze disastrose per la privacy.
Tra i provider di posta più utilizzati in assoluto c’è sicuramente Gmail che proprio in questi giorni è finito nel mirino di alcuni criminali informatici che hanno messo in atto una truffa estremamente sofisticata: utilizzando l’ingegneria sociale i malintenzionati digitali si spacciano per operatori dell'assistenza di Google e tentano di ottenere, tramite una telefonata, i codici di autenticazione a due fattori (2FA) degli utenti, con l'obiettivo di penetrare dentro i loro account.
Falsi operatori di Google, la nuova truffa sul web
Questa truffa è stata già oggetto di diverse segnalazioni su Reddit che riportano tutte lo stesso modus operandi: la vittima riceve una chiamata telefonica da una persona che si presenta come addetto al supporto tecnico di Google.
Il falso operatore avrebbe la necessità di verificare le informazioni di recupero dell'indirizzo email o di apportare presunte modifiche all'account che sarebbero state richieste dall'utente stesso.
L'obiettivo è semplicemente quello di creare un senso di urgenza tale da spingere la vittima a inviare o comunicare un codice di recupero del profilo Gmail, spesso un codice monouso inviato via SMS o generato da un'app di autenticazione.
Con questa strategia i malintenzionati cercano di scavalcare l’autenticazione a due fattori (2FA) che, a oggi, viene considerato come uno dei metodi di protezione più sicuri a disposizione degli utenti.
Il perché di questo elevato livello di sicurezza è semplice: perché gli hacker non sono in grado di rubare una seconda password di accesso che, oltretutto, cambia di continuo e viene generata in modo casuale.
Se qualcuno fornisse quanto richiesto dall’operatore telefonico, però, in pochi minuti gli hacker potrebbero completare l'accesso all'account, prenderne il controllo e potenzialmente tagliarne fuori il legittimo proprietario cambiando le credenziali o le informazioni di recupero.
I consigli di Google per difendersi da questa truffa
Subito dopo la diffusione delle segnalazioni in rete, Google ha confermato ufficialmente la cosa, pur tranquillizzando gli utenti sull’attacco che dovrebbe avere una diffusione estremamente limitata, colpendo un numero ridotto di account.
Nonostante questo, Big G ha comunque rafforzato i propri sistemi di sicurezza per proteggere gli utenti da questo tipo di attacchi, andando anche a bloccare tutti gli account malevoli riconosciuti.
Oltretutto il colosso di Mountain View ha anche ribadito che in nessun modo Google o qualsiasi fornitore di servizi online legittimo contatterà mai gli utenti per telefono chiedendo password o codici di accesso e comunicazioni del genere avvengono solo tramite canali sicuri all'interno dell'applicazione o del sito web del servizio stesso,
Quindi, chi riceve una telefonata del genere deve subito riagganciare, bloccare e segnalare il numero (se possibile).
Ci sono, inoltre, diverse tecnologie di autenticazione resistenti al phishing, come chiavi di sicurezza hardware (token fisici che si connettono al dispositivo) o Passkey (credenziali crittografiche legate al device e all'account) che offrono un livello di protezione superiore dato che non richiedono la digitazione di un codice ma utilizzano un sistema di autenticazione crittografico.
Infine, Big G raccomanda di impostare e mantenere aggiornati un numero di telefono e un indirizzo email di recupero associati al proprio account, una precauzione cruciale in caso in cui qualche malintenzionato riesca a penetrare al suo interno cambiando i dati di accesso.
Se ciò accadesse, infatti, il legittimo proprietario ha 7 giorni per avviare la procedura di recupero prima che la modifica diventi permanente, utilizzando proprio i fattori di recupero originali.
Per saperne di più:
Domande frequenti (FAQ)
-
Qual è il modus operandi dei cybercriminali nella truffa ai danni degli utenti Gmail?I cybercriminali si spacciano per operatori dell'assistenza di Google e cercano di ottenere i codici di autenticazione a due fattori (2FA) degli utenti tramite telefonate ingannevoli.
-
Come difendersi dalla truffa dei falsi operatori di Google?Per difendersi dalla truffa dei falsi operatori di Google è importante non fornire mai password o codici di accesso via telefono e segnalare immediatamente il numero sospetto.
-
Quali sono i consigli di Google per proteggere gli account Gmail?Google consiglia di impostare e mantenere aggiornati un numero di telefono e un indirizzo email di recupero associati all'account Gmail per una maggiore sicurezza.
