phishing

Gli autori degli attacchi mascherano il phishing da notifiche di Google AppSheet

I criminali informatici hanno iniziato a sfruttare il servizio legittimo AppSheet di Google per implementare campagne di phishing che prendono di mira i dati personali e le credenziali degli utenti. Ecco come questo è ancora possibile e cosa è necessario fare per proteggere i propri account.

Anna Lazaricheva
12 Giu 2026

Le campagne di phishing sono diventate significativamente più sofisticate e convincenti negli ultimi anni. Gli indirizzi del mittente ora sono quasi identici a quelli originali, le e-mail sono scritte in modo impeccabile e gli utenti vengono chiamati per nome. Ma cosa si fa quando un’e-mail sospetta proviene da un indirizzo e-mail chiaramente legittimo?

Ultimamente i phisher hanno sfruttato la piattaforma Google AppSheet per impostare e-mail che provengono da un indirizzo ufficiale collegato a Google. In seguito a un attacco andato a buon fine, ottengono informazioni sugli account e i dati sensibili delle vittime.

In questo post, analizzeremo il funzionamento di questo nuovo schema di furto di dati e come proteggersi da questi attacchi di phishing.

Google ti sta offrendo un lavoro. O Coca Cola. O forse Volvo. O lo sono?

AppSheet è un servizio Google per la creazione di app senza alcuna competenza di programmazione. Viene spesso utilizzato dalle piccole imprese per automatizzare i flussi di lavoro di routine. Purtroppo, è proprio questa semplicità che rende AppSheet così interessante per i criminali informatici. Al giorno d’oggi tutto ciò che serve per mettere a punto una truffa di phishing sono pochi dollari e un’app messa insieme rapidamente utilizzando comandi e blocchi predefiniti.

Il manuale per gli attacchi di phishing di AppSheet è piuttosto banale. La vittima riceve un’e-mail per conto di una grande azienda e spesso questi messaggi iniziano rivolgendosi al destinatario per nome. Sembra che gli autori degli attacchi stiano analizzando i dati divulgati per far corrispondere i nomi con indirizzi e-mail specifici.

Successivamente, gli autori degli attacchi giocano sulle emozioni del destinatario. Potrebbero causare il panico nella vittima con avvisi urgenti che richiedono un’azione immediata: ad esempio “L’account verrà disabilitato a breve” o “Rilevata attività sospetta”. In alternativa, li attirano con esche irresistibili, come la promessa di un badge verificato o l’invito a un colloquio di un gigante della tecnologia. Queste false e-mail delle risorse umane sono progettate per mettere alle vittime una fretta immediata. Fanno sembrare che la domanda del destinatario abbia già ricevuto un’approvazione prioritaria e un punteggio elevato, stuzzicando un’offerta di lavoro che potrebbe decadere già il giorno dopo.

Per la maggior parte delle persone, questi messaggi non sono un campanello d’allarme. L’e-mail ignora completamente la cartella spam e il campo Da visualizza il nome esatto dell’azienda che si aspetta di vedere. Purtroppo, nulla di tutto ciò significa che l’e-mail è autentica: gli utenti malintenzionati possono inserire quello che vogliono nel nome visualizzato. E siamo onesti: pochissime persone effettivamente si fermano a controllare l’indirizzo e-mail del mittente.

Nelle campagne di phishing basate su AppSheet, il mittente è sempre lo stesso: noreply{@}appsheet.com. Ma ecco il vero colpo di scena: quell’indirizzo è legittimo al 100%. Dal momento che è direttamente collegato all’infrastruttura di Google, ci sono buone probabilità che i filtri anti-spam standard diano il via libera a queste e-mail senza battere ciglio.

Naturalmente, per garantire l’ambito colloquio o riparare il proprio account, la vittima fa clic sul collegamento e quindi consegna volontariamente la propria intera identità digitale su un sito Web emulatore: nome completo, indirizzo, numero di telefono e così via. Da lì, gli autori degli attacchi possono vendere i dati raccolti nel Dark Web o utilizzarli come arma per attacchi secondari mirati. Per finire, la vittima viene reindirizzata a una pagina di accesso di phishing, che consente agli autori degli attacchi di rubare i propri account.

Ecco un’analisi dettagliata di come una vittima passa dalla ricezione di un’e-mail falsa del portale Google Careers alla completa compromissione del proprio account:

: Saluti, candidato! Perché non fai clic sul collegamento al nostro sito falso Google per pianificare un colloquio?

: Il collegamento contenuto nell'e-mail rimanda a un sito contraffatto con un design indistinguibile dall'originale. All'utente viene richiesto di compilare un modulo: fornire nome completo, e-mail aziendale, numero di telefono e data preferita per il colloquio...

: ...Una volta che la vittima compila il modulo, viene visualizzata una richiesta di accesso con le credenziali Google. Tutti questi dati vanno direttamente agli autori degli attacchi

Campagne di phishing simili vengono lanciate per conto di altri importanti marchi tecnologici e gli utenti che cedono i dati del proprio account Apple rischiano di perdere non solo il proprio account, ma anche il controllo di tutti i propri dispositivi Apple. Gli autori degli attacchi potrebbero spingere la vittima a disconnettersi dal proprio Apple ID personale e ad accedere a un “account aziendale” per la verifica, che in realtà è un account Apple di loro proprietà. Nel momento in cui la vittima lo fa, gli utenti malintenzionati prendono il controllo remoto completo del dispositivo usato, spesso utilizzando la Modalità smarrito per bloccare la vittima e tenere il telefono in cerca di un riscatto.

A peggiorare le cose, gli utenti malintenzionati non sempre rilasciano un collegamento dannoso nell’e-mail iniziale. Invece, giocano alla lunga: agganciare l’obiettivo in una conversazione chiedendogli di rispondere e confermare il proprio interesse. Questo pretesto crea l’illusione di chattare con un vero recruiter. E questo playbook non è nemmeno riservato esclusivamente alla Silicon Valley. Gli autori degli attacchi spesso impersonano nomi familiari riconosciuti a livello globale, come Volvo o Coca-Cola. Ovviamente è altamente improbabile che gli autori degli attacchi vogliano l’account Coca-Cola di qualcuno, sempre che l’utente ne abbia uno. Molto probabilmente, l’obiettivo è rubare dati sensibili o convincere l’utente ad accedere a un modulo di phishing utilizzando le proprie credenziali Google/Apple/Facebook e così via.

: Un "membro del team delle risorse umane" di Coca-Cola contatta la vittima per elogiarla, raccontando la sua esperienza e i risultati ottenuti, il pensiero analitico e la creatività... Gli autori degli attacchi tengono intenzionalmente nascosto il piano finale, che si tratti di indirizzare la vittima verso un sito di phishing, di orchestrare un'acquisizione completa dell'account o di mettere in atto una vera e propria truffa finanziaria.

: Un'e-mail simile che finge di provenire dal team di acquisizione talenti di Volvo

Vuoi ottenere la verifica da parte di Meta?

Naturalmente, i “lavori da sogno” non sono le uniche esche utilizzate. Abbiamo assistito a campagne in cui una fantomatica “Assistenza Facebook” dice a un utente che è stato ritenuto idoneo per il prestigioso badge Meta Verified, un segno di spunta blu normalmente riservato alle celebrità di alto livello e ai marchi globali. Per assicurarsi l’ambito segno di spunta blu, la vittima viene indirizzata a una pagina di phishing in cui viene chiesto di compilare un modulo di identità, prima di consegnare il premio finale: il nome utente e la password di Facebook. E tutto in nome della sicurezza, naturalmente!

Questi siti contraffatti vengono creati in un’ampia varietà di lingue e personalizzati per gli utenti di diversi paesi. Di seguito è riportata la versione olandese.

: Per ottenere il segno di spunta blu, l'utente è tenuto a fornire "informazioni aggiuntive". Se non si rispetta la scadenza (in genere pochi giorni), l'offerta scade

: Dopo che la vittima ha compilato i campi standard (nome, numero di telefono, e-mail personale e aziendale e data di nascita) viene visualizzato un messaggio che richiede la propria password Facebook

: Per motivi di plausibilità, all'utente non viene solo chiesto di compilare i campi con informazioni personali, ma anche di descrivere in dettaglio il motivo per cui la decisione di chiudere l'account è stata un errore

: Infine, all'utente viene richiesto di confermare la richiesta di ricorso accedendo a "Facebook". In realtà, la vittima sta semplicemente fornendo le proprie credenziali agli autori degli attacchi

Come individuare il phishing e proteggere gli account

Purtroppo, gli attacchi di phishing stanno diventando sempre più sofisticati e gli autori degli attacchi hackerano regolarmente la reputazione di servizi e domini legittimi. Ecco come non cadere nelle loro trappole e salvaguardare i dati:

Ricorda: non tutte le e-mail di phishing finiscono nella cartella spam. I filtri antispam standard nei client di posta elettronica spesso non riescono a rilevare gli attacchi avanzati e il caso AppSheet è un ottimo esempio. Per evitare di abboccare accidentalmente all’esca, utilizza Kaspersky Premium su tutti i tuoi dispositivi. Intercetta le e-mail di phishing e blocca istantaneamente i collegamenti ai siti Web di spoofing, anche se l’utente malintenzionato si nasconde dietro un dominio completamente legittimo. Inoltre, la versione Android è in grado di rilevare collegamenti dannosi e di phishing nei messaggi di qualsiasi app.
Controlla l’e-mail per rilevare eventuali errori di battitura. Per evitare che i tuoi messaggi facciano scattare allarmi, gli autori degli attacchi ricorrono spesso all’inserimento di nascosto di spazi extra o allo scambio di caratteri. Ecco un esempio da una delle e-mail trovate: Fac eb o ok S u ppo r t anziché Facebook Support.
Prima di intraprendere qualsiasi azione su un sito Web, controlla attentamente il nome di dominio rispetto all’indirizzo ufficiale. Gli utenti malintenzionati creano spesso indirizzi che sembrano essere reali solo finché non si presta particolare attenzione. Installa Kaspersky Premium per essere sempre sicuro di non approdare su un sito contraffatto.
Controlla prima l’indirizzo del mittente, non solo il nome visualizzato. Se un’e-mail afferma di provenire da Google Careers, Apple HR o dall’Assistenza di Facebook, ma l’indirizzo del mittente punta ad AppSheet o a un altro servizio non correlato, non leggere il messaggio. Quella mancata corrispondenza di dominio è un chiaro indizio del fatto che si tratta di una trappola. Incrocia gli indirizzi e-mail con quelli elencati nei siti Web ufficiali delle aziende.
Verifica la presenza di firme e-mail. Ad esempio, tutte le e-mail inviate tramite AppSheet includono una nota informativa in fondo. È molto più probabile che si riceva una notifica di AppSheet legittima da una piccola azienda o impresa, ma sicuramente non da un colosso della tecnologia. Le grandi aziende in genere utilizzano i propri domini per le e-mail.
Usa uno strumento di gestione delle password. Anche se accedi a un sito contraffatto e tenti di immettere la password, uno strumento affidabile di gestione delle password avviserà l’utente della mancata corrispondenza del dominio e rifiuterà di compilare automaticamente il nome utente e la password.
Non dimenticarti dell’autenticazione a due fattori. Se è abilitata, il solo fatto di disporre di nome utente e password non aiuterà gli utenti malintenzionati ad accedere al tuo account, ma avranno anche bisogno di un codice monouso. Tuttavia, potrebbero comunque tentare di indurti a rinunciare anche a quella, quindi presta ancora più attenzione ogni volta che inserisci codici di autenticazione a due fattori ovunque.
Usa le passkey invece delle password tradizionali, ove possibile. Questa tecnologia fornisce un’eccellente protezione dal phishing: anche se si visita un sito dannoso e si tenta di accedere, la passkey non funzionerà nel dominio contraffatto. È possibile archiviare e sincronizzare le passkey tra diversi dispositivi in Kaspersky Password Manager. Leggi il nostro post sull’argomento per ulteriori informazioni sul funzionamento delle passkey.

Gli attacchi di phishing stanno diventando sempre più sofisticati. Ecco cos’altro dovresti sapere sul phishing:

Cosa succede ai dati rubati tramite phishing?

Attacchi browser-in-the-browser: dalla teoria alla realtà

Phishing e spam: le campagne più pazze del 2025

Phishing nelle mini app Telegram: cosa c’entra la papakha di Habib?

In che modo phisher e truffatori utilizzano l’AI

Vulnerabilità Qualcomm: le riparazioni dei telefoni e la manutenzione dell’auto non sono più sicure

I nostri esperti hanno scoperto una vulnerabilità irreparabile nei chip Qualcomm utilizzati ovunque: dai dispositivi per le smart home, agli smartphone e alle automobili, alle apparecchiature industriali. Quali rischi comporta e cosa fare per proteggersi?

Privacy e bambini

Gli autori degli attacchi mascherano il phishing da notifiche di Google AppSheet

Google ti sta offrendo un lavoro. O Coca Cola. O forse Volvo. O lo sono?

Vuoi ottenere la verifica da parte di Meta?

Come individuare il phishing e proteggere gli account

Bubble: un nuovo strumento per le truffe di phishing

Attacchi browser-in-the-browser: dalla teoria alla realtà

Vulnerabilità Qualcomm: le riparazioni dei telefoni e la manutenzione dell’auto non sono più sicure

Consigli

Ecco perché sul vostro iPhone non dovreste mai utilizzare l’ID Apple di qualcun altro

Mese della Cybersecurity Awareness

In che modo i trojan bancari bypassano l’autenticazione a due fattori?

Sicurezza online: 6 semplici regole adatte a tutte le età

Soluzioni per gli utenti privati

Prodotti per piccole imprese

Prodotti per medie imprese

Soluzioni aziendali

Securelist

Eugene Personal Blog

Encyclopedia