{"id":29650,"date":"2025-05-20T14:49:29","date_gmt":"2025-05-20T12:49:29","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=29650"},"modified":"2025-05-20T15:16:01","modified_gmt":"2025-05-20T13:16:01","slug":"dkim-replay-attack-through-google-oauth","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/dkim-replay-attack-through-google-oauth\/29650\/","title":{"rendered":"E-mail di Google: le forze dell’ordine stanno esaminando il tuo account"},"content":{"rendered":"

Immagina di ricevere un\u2019e-mail che informa che Google ha ricevuto una citazione per pubblicare i contenuti del tuo account. L\u2019e-mail ha un aspetto in perfetto stile Google e anche l\u2019indirizzo del mittente sembra legittimo: no-reply@accounts.google.com<\/em><\/strong>. Un po\u2019 snervante (o forse inquietante?), per non dire altro, giusto?<\/p>\n

E che fortuna: l\u2019e-mail contiene un collegamento a una pagina di assistenza di Google con tutti i dettagli su ci\u00f2 che sta accadendo. Anche il nome di dominio nel link sembra legittimo e sembra appartenere a Google\u2026<\/p>\n

I lettori abituali del nostro blog probabilmente hanno gi\u00e0 intuito che si tratta di un nuovo schema di phishing<\/a>. E avrebbero ragione. Questa volta i truffatori stanno sfruttando diversi servizi Google autentici per ingannare le vittime e rendere le e-mail il pi\u00f9 convincenti possibile. Ecco come funziona\u2026<\/p>\n

In che modo l\u2019e-mail di phishing imita una notifica Google ufficiale<\/h2>\n

Lo screenshot seguente mostra l\u2019e-mail che d\u00e0 il via all\u2019attacco; e sembra davvero credibile fingendo di essere un avviso del sistema di sicurezza di Google. Il messaggio informa l\u2019utente che l\u2019azienda ha ricevuto una citazione in giudizio con la richiesta di accedere ai dati nel proprio Account Google.<\/p>\n

\"E-mail<\/a>

E-mail truffa inviata da no-reply@accounts.google.com, camuffata da citazione in giudizio emessa a Google LLC dalle forze dell\u2019ordine, che richiedeva a Google di produrre una copia dei contenuti dell\u2019Account Google dell\u2019utente.Fonte<\/a><\/p><\/div>\n

Il campo \u201cda<\/strong>\u201d contiene un indirizzo Google legittimo: no-reply@accounts.google.com<\/em><\/strong>. \u00c8 esattamente lo stesso indirizzo da cui provengono le notifiche di sicurezza di Google. L\u2019e-mail contiene anche alcuni dettagli che rafforzano l\u2019illusione dell\u2019autenticit\u00e0: l\u2019ID dell\u2019Account Google, il numero della richiesta di assistenza e il link al caso. E, soprattutto, l\u2019e-mail informa il destinatario che se desidera saperne di pi\u00f9 sui materiali del caso o contestare la citazione, pu\u00f2 farlo facendo clic su un link.<\/p>\n

Anche il collegamento stesso sembra abbastanza plausibile. L\u2019indirizzo include il dominio Google ufficiale e il numero del ticket di assistenza sopra menzionato. E ci vuole un utente esperto per individuare il problema: le pagine dell\u2019assistenza di Google si trovano all\u2019indirizzo support.google.com<\/em><\/strong>, ma questo link porta a sites.google.com<\/em><\/strong>. I truffatori, ovviamente, contano su utenti che non capiscono tali tecnicismi o non notano la sostituzione della parola.<\/p>\n

Se l\u2019utente non ha eseguito l\u2019accesso, facendo clic sul collegamento verr\u00e0 visualizzata una pagina di accesso dell\u2019Account Google originale. Dopo l\u2019autorizzazione, vengono indirizzati a una pagina all\u2019indirizzo sites.google.com<\/em><\/strong>, che imita in modo abbastanza convincente il sito di assistenza ufficiale di Google.<\/p>\n

\"Pagina<\/a>

Ecco come appare una pagina dell\u2019Assistenza Google falsa con un link nell\u2019e-mail.Fonte<\/a><\/p><\/div>\n

A questo punto, capita che il dominio sites.google.com<\/em><\/strong> appartenga al servizio Google Sites<\/a> legittimo. Lanciato nel 2008, \u00e8 un creatore di siti Web abbastanza semplice, niente di straordinario. La sfumatura importante in Google Sites \u00e8 che tutti i siti Web creati all\u2019interno della piattaforma sono automaticamente ospitati in un sottodominio google.com<\/em>: sites.google.com<\/em><\/strong>.<\/p>\n

Gli utenti malintenzionati possono utilizzare tale indirizzo sia per calmare la vigilanza delle vittime che per eludere vari sistemi di protezione, poich\u00e9 sia gli utenti che le soluzioni di protezione tendono a considerare attendibile il dominio Google. Non sorprende che i truffatori utilizzino sempre pi\u00f9 Google Sites per creare pagine di phishing<\/a>.<\/p>\n

Individuazione dei falsi: il problema \u00e8 nei dettagli (dell\u2019e-mail).<\/h2>\n

Abbiamo gi\u00e0 descritto il primo segno di un\u2019e-mail dubbia: l\u2019indirizzo della pagina di assistenza falsa sites.google.com<\/em><\/strong>.<\/em> Osservare l\u2019intestazione dell\u2019e-mail per ulteriori campanelli d\u2019allarme:<\/p>\n

Phishing camuffato da e-mail Google ufficiale: prendere nota dei campi \"a\" e \"inviato da\"<\/a>

Individuare il falso: guarda i campi \u201ca\u201d e \u201cinviato da\u201d nell\u2019intestazione.Fonte<\/a><\/p><\/div>\n

I campi a cui prestare attenzione sono \u201d da<\/strong> \u201c, \u201d a<\/strong> \u201d e \u201d inviato da<\/strong>\u201c. Quello \u201d da<\/strong>\u201d sembra a posto: il mittente \u00e8 l\u2019e-mail ufficiale di Google, no-reply@accounts.google.com<\/em><\/strong>.<\/p>\n

Ma ecco, il campo \u201ca\u201d<\/strong> appena sotto di esso rivela l\u2019indirizzo del destinatario effettivo, e questo ha sicuramente un aspetto fittizio: me[@]google-mail-smtp-out-198-142-125-38-prod[.]net<\/em><\/strong>. L\u2019indirizzo sta tentando di imitare un indirizzo Google tecnico, ma l\u2019errore di battitura nel nome di dominio dell\u2019azienda \u00e8 un indizio. Inoltre, la presenza di tale dispositivo non \u00e8 assolutamente necessaria: questo campo deve contenere l\u2019e-mail del destinatario.<\/p>\n

Man mano che si esamina l\u2019intestazione, nel campo \u201d inviato da<\/strong>\u201d viene visualizzato un altro indirizzo sospetto. Ora, questo chiaramente non \u00e8 affatto vicino al territorio di Google: fwd-04-1.fwd.privateemail[.]com<\/strong>. Ancora una volta, sciocchezze come questa non trovano posto in un\u2019e-mail autentica. Per riferimento, ecco come appaiono questi campi in un avviso di sicurezza Google reale:<\/p>\n

\"Avviso<\/a>

Campi \u201ca\u201d e \u201cinviato da\u201d in un avviso di sicurezza Google originale<\/p><\/div>\n

Non sorprende che questi sottili segni andrebbero probabilmente persi per l\u2019utente medio, specialmente quando \u00e8 gi\u00e0 spaventato dall\u2019incombente problema legale. Ad aumentare la confusione c\u2019\u00e8 il fatto che l\u2019e-mail falsa \u00e8 effettivamente firmata da Google: il campo \u201cfirmato da<\/strong>\u201d mostra accounts.google.com<\/em><\/strong>. Nella parte successiva di questo post spiegheremo in che modo i malviventi sono riusciti a raggiungere questo obiettivo, quindi parleremo di come evitare di diventarne vittime.<\/p>\n

Ricostruire l\u2019attacco passo dopo passo<\/h2>\n

Per capire esattamente in che modo i truffatori sono riusciti a inviare un\u2019e-mail del genere e cosa cercassero, i ricercatori della cybersecurity hanno ricostruito l\u2019attacco<\/a>. L\u2019indagine ha rivelato che gli autori degli attacchi hanno utilizzato Namecheap per registrare il dominio (ora revocato) googl-mail-smtp-out-198-142-125-38-prod[.]net<\/em><\/strong>.<\/p>\n

Successivamente, hanno utilizzato nuovamente lo stesso servizio per configurare un account e-mail gratuito per questo dominio: me[@]google-mail-smtp-out-198-142-125-38-prod[.]net<\/strong>. I malviventi hanno inoltre registrato una versione di prova gratuita di Google Workspace nello stesso dominio. Successivamente i truffatori hanno registrato la propria applicazione Web nel sistema Google OAuth e le hanno concesso l\u2019accesso al proprio account Google Workspace.<\/p>\n

Google OAuth \u00e8 una tecnologia che consente ad applicazioni Web di terze parti di utilizzare i dati dell\u2019account Google per autenticare gli utenti<\/a> con la loro autorizzazione. \u00c8 probabile che ti sia imbattuto in Google OAuth come metodo di autenticazione per i servizi di terze parti: \u00e8 il sistema che utilizzi ogni volta che fai clic sul pulsante \u201cAccedi con Google\u201d. Oltre a ci\u00f2, le applicazioni possono utilizzare Google OAuth per ottenere l\u2019autorizzazione, ad esempio per salvare i file in Google Drive.<\/p>\n

Ma torniamo ai nostri truffatori. Dopo la registrazione di un\u2019applicazione Google OAuth, il servizio consente l\u2019invio di una notifica all\u2019indirizzo e-mail associato al dominio verificato. \u00c8 interessante notare che l\u2019amministratore dell\u2019applicazione Web \u00e8 libero di immettere manualmente qualsiasi testo come \u201cNome dell\u2019app\u201d, che sembra essere ci\u00f2 che i criminali hanno sfruttato.<\/p>\n

Nella schermata seguente, i ricercatori lo dimostrano registrando un\u2019app con il nome \u201cAny Phishing Email Text Inject Here with phishing URLs\u2026\u201d.<\/p>\n

\"Google<\/a>

Registrazione di un\u2019app Web con un nome arbitrario in Google OAuth: come nome \u00e8 possibile immettere il testo di un\u2019e-mail truffa con un collegamento di phishing.Fonte<\/a><\/p><\/div>\n

Google invia quindi un avviso di sicurezza contenente questo testo di phishing dal proprio indirizzo ufficiale. Questa e-mail viene inviata all\u2019indirizzo e-mail dei truffatori nel dominio registrato tramite Namecheap. Questo servizio consente di inoltrare la notifica ricevuta da Google a qualsiasi indirizzo. \u00c8 sufficiente impostare una regola di inoltro specifica e specificare gli indirizzi e-mail delle potenziali vittime.<\/p>\n

\"In<\/a>

Impostazione di una regola di inoltro che consente di inviare l\u2019e-mail falsa a pi\u00f9 destinatari.Fonte<\/a><\/p><\/div>\n

Come proteggersi dagli attacchi di phishing come questo<\/h2>\n

Non \u00e8 del tutto chiaro cosa sperassero di ottenere gli autori degli attacchi con questa campagna di phishing. L\u2019utilizzo di Google OAuth per l\u2019autenticazione non significa che le credenziali dell\u2019account Google della vittima vengano condivise con i truffatori. Il processo genera un token che fornisce solo un accesso limitato ai dati dell\u2019account dell\u2019utente, a seconda delle autorizzazioni consentite dall\u2019utente e delle impostazioni configurate dai truffatori.<\/p>\n

La falsa pagina dell\u2019Assistenza Google in cui arriva l\u2019utente ingannato suggeriva che l\u2019obiettivo fosse convincerlo a scaricare alcuni \u201cdocumenti legali\u201d presumibilmente correlati al loro caso. La natura di questi documenti \u00e8 sconosciuta, ma \u00e8 probabile che contengano codice dannoso.<\/p>\n

I ricercatori hanno segnalato questa campagna di phishing a Google. La societ\u00e0 ha riconosciuto questo come un potenziale rischio<\/a> per gli utenti e attualmente sta lavorando a una correzione per la vulnerabilit\u00e0 di OAuth. Tuttavia, il tempo necessario per risolvere il problema rimane sconosciuto.<\/p>\n

Nel frattempo, ecco alcuni consigli per evitare di diventare vittima di questo e di altri intricati schemi di phishing.<\/p>\n