Il recente caso di phishing segnalato da un esperto di sicurezza informatica solleva interrogativi rilevanti sulla vulnerabilità delle infrastrutture digitali, anche quelle gestite da aziende considerate leader mondiali nel settore tecnologico.
Secondo quanto raccontato dallo sviluppatore Nick Johnson, la truffa sarebbe stata particolarmente insidiosa, perché veicolata tramite un messaggio che risultava autentico a tutti gli effetti, inviato da un indirizzo ufficiale di Google e firmato digitalmente in modo corretto. Il messaggio in questione imitava perfettamente una comunicazione formale del colosso californiano e avvertiva l’utente dell’esistenza di un presunto mandato di comparizione relativo ai contenuti del proprio account, offrendo la possibilità di presentare opposizione.
A rendere l’inganno ancora più difficile da riconoscere, il fatto che l’email superasse tutti i controlli di sicurezza abitualmente utilizzati da Gmail e che fosse inserita nello stesso scambio di messaggi delle vere notifiche inviate dal sistema. «Ha superato il controllo della firma Dkim e Gmail lo visualizza senza alcuna segnalazione d’allarme — ha spiegato Johnson — addirittura lo inserisce nello stesso scambio di messaggi delle vere notifiche di sicurezza». Dkim, acronimo di DomainKeys Identified Mail, è un protocollo di autenticazione delle email che impiega firme digitali per verificare la legittimità del mittente, come si legge nel sito ufficiale di Google.
Solo un occhio attento poteva cogliere gli indizi di un tentativo di phishing: il link rimandava a “sites.google.com” invece che al dominio ufficiale “accounts.google.com”, e il testo presentava spazi vuoti anomali. Johnson, con un post su X, ha denunciato la sofisticazione dell’attacco, sottolineando come la vulnerabilità sfruttata fosse radicata nell’infrastruttura di Google e come l’azienda, a suo avviso, non avesse inizialmente agito per risolverla.
Dopo la denuncia pubblica di Johnson, il 22 aprile, un portavoce ha dichiarato a The Epoch Times che Google ha confermato di essere a conoscenza di questa modalità di attacco e ha dichiarato di aver adottato contromisure per impedire ulteriori abusi. In particolare, l’azienda ha disattivato il sistema che consentiva agli aggressori di inserire porzioni di testo con lunghezza arbitraria nei messaggi, ritenuto il punto critico dell’intera operazione fraudolenta. Inoltre, ha rinnovato l’invito agli utenti ad attivare forme avanzate di protezione, come l’autenticazione a due fattori e le chiavi di accesso, considerate tra le più efficaci nel prevenire questo tipo di violazioni.
Google ha anche ribadito che non chiede mai credenziali personali agli utenti — né password né codici temporanei — e che non contatta mai telefonicamente le persone. L’azienda consiglia inoltre di prestare attenzione a messaggi che presentano richieste urgenti e di non fornire informazioni personali, come coordinate bancarie, numeri di carte di credito o indirizzi, a sconosciuti o a soggetti che ne facciano richiesta con insistenza. Sul piano della trasparenza istituzionale, l’azienda ha ricordato che, salvo divieti legali specifici, invia notifiche agli utenti coinvolti quando riceve richieste di accesso ai dati da parte di enti governativi. Solo in situazioni di emergenza, come pericoli per la vita o l’incolumità di un minore, l’avviso può essere posticipato.
Questo episodio evidenzia due aspetti fondamentali. Da un lato, la crescente complessità delle tecniche di phishing, che sfruttano la fiducia degli utenti verso marchi consolidati come Google per carpire informazioni sensibili. Dall’altro, la necessità per le aziende tecnologiche di anticipare e neutralizzare le vulnerabilità prima che vengano sfruttate su larga scala. La prontezza di Google nel correggere il problema è un segnale positivo, ma la denuncia di Johnson solleva interrogativi sulla rapidità con cui le grandi piattaforme individuano e affrontano le falle nei loro sistemi.
La vicenda invita anche gli utenti a un ruolo attivo nella propria sicurezza digitale. Strumenti come l’autenticazione a due fattori, sebbene non infallibili, rappresentano una difesa essenziale in un panorama di minacce in continua evoluzione. Allo stesso tempo, le aziende tecnologiche devono investire non solo in soluzioni tecniche, ma anche in campagne di sensibilizzazione per educare gli utenti a riconoscere i segnali di un attacco e poggiare su un’infrastruttura solida, costantemente aggiornata e realmente orientata alla tutela dell’utente.
