{"id":30750,"date":"2026-06-12T10:00:25","date_gmt":"2026-06-12T08:00:25","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=30750"},"modified":"2026-06-10T17:13:27","modified_gmt":"2026-06-10T15:13:27","slug":"appsheet-phishing-emails","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/appsheet-phishing-emails\/30750\/","title":{"rendered":"Gli autori degli attacchi mascherano il phishing da notifiche di Google AppSheet"},"content":{"rendered":"

Le campagne di phishing sono diventate significativamente pi\u00f9 sofisticate e convincenti negli ultimi anni. Gli indirizzi del mittente ora sono quasi identici a quelli originali, le e-mail sono scritte in modo impeccabile e gli utenti vengono chiamati per nome. Ma cosa si fa quando un\u2019e-mail sospetta proviene da un indirizzo e-mail chiaramente legittimo?<\/p>\n

Ultimamente i phisher hanno sfruttato la piattaforma Google AppSheet per impostare e-mail che provengono da un indirizzo ufficiale collegato a Google. In seguito a un attacco andato a buon fine, ottengono informazioni sugli account e i dati sensibili delle vittime.<\/p>\n

In questo post, analizzeremo il funzionamento di questo nuovo schema di furto di dati e come proteggersi da questi attacchi di phishing.<\/p>\n

Google ti sta offrendo un lavoro. O Coca Cola. O forse Volvo. O lo sono?<\/h2>\n

AppSheet \u00e8 un servizio Google per la creazione di app senza alcuna competenza di programmazione. Viene spesso utilizzato dalle piccole imprese per automatizzare i flussi di lavoro di routine. Purtroppo, \u00e8 proprio questa semplicit\u00e0 che rende AppSheet cos\u00ec interessante per i criminali informatici. Al giorno d\u2019oggi tutto ci\u00f2 che serve per mettere a punto una truffa di phishing sono pochi dollari<\/a> e un\u2019app messa insieme rapidamente utilizzando comandi e blocchi predefiniti.<\/p>\n

Il manuale per gli attacchi di phishing di AppSheet \u00e8 piuttosto banale. La vittima riceve un\u2019e-mail per conto di una grande azienda e spesso questi messaggi iniziano rivolgendosi al destinatario per nome. Sembra che gli autori degli attacchi stiano analizzando i dati divulgati per far corrispondere i nomi con indirizzi e-mail specifici.<\/p>\n

Successivamente, gli autori degli attacchi giocano sulle emozioni del destinatario. Potrebbero causare il panico nella vittima con avvisi urgenti che richiedono un\u2019azione immediata: ad esempio \u201cL\u2019account verr\u00e0 disabilitato a breve\u201d o \u201cRilevata attivit\u00e0 sospetta\u201d. In alternativa, li attirano con esche irresistibili, come la promessa di un badge verificato o l\u2019invito a un colloquio di un gigante della tecnologia. Queste false e-mail delle risorse umane sono progettate per mettere alle vittime una fretta immediata. Fanno sembrare che la domanda del destinatario abbia gi\u00e0 ricevuto un\u2019approvazione prioritaria e un punteggio elevato, stuzzicando un\u2019offerta di lavoro che potrebbe decadere gi\u00e0 il giorno dopo.<\/p>\n

Per la maggior parte delle persone, questi messaggi non sono un campanello d\u2019allarme. L\u2019e-mail ignora completamente la cartella spam e il campo Da<\/em> visualizza il nome esatto dell\u2019azienda che si aspetta di vedere. Purtroppo, nulla di tutto ci\u00f2 significa che l\u2019e-mail \u00e8 autentica: gli utenti malintenzionati possono inserire quello che vogliono nel nome visualizzato. E siamo onesti: pochissime persone effettivamente si fermano a controllare l\u2019indirizzo e-mail del mittente.<\/p>\n

Nelle campagne di phishing basate su AppSheet, il mittente \u00e8 sempre lo stesso: noreply{@}appsheet.com<\/strong>. Ma ecco il vero colpo di scena: quell\u2019indirizzo \u00e8 legittimo al 100%. Dal momento che \u00e8 direttamente collegato all\u2019infrastruttura di Google, ci sono buone probabilit\u00e0 che i filtri anti-spam standard diano il via libera a queste e-mail senza battere ciglio.<\/p>\n

Naturalmente, per garantire l\u2019ambito colloquio o riparare il proprio account, la vittima fa clic sul collegamento e quindi consegna volontariamente la propria intera identit\u00e0 digitale su un sito Web emulatore: nome completo, indirizzo, numero di telefono e cos\u00ec via. Da l\u00ec, gli autori degli attacchi possono vendere i dati raccolti nel Dark Web o utilizzarli come arma per attacchi secondari mirati<\/a>. Per finire, la vittima viene reindirizzata a una pagina di accesso di phishing, che consente agli autori degli attacchi di rubare i propri account.<\/p>\n

Ecco un\u2019analisi dettagliata di come una vittima passa dalla ricezione di un\u2019e-mail falsa del portale Google Careers alla completa compromissione del proprio account:<\/p>\n

\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\n\t\t\t\t\t\t\t\t\t\t\"E-mail\n\t\t\t\t\t\t\t\t\t<\/a>\n\t\t\t\t\t\t\t\t<\/dt>\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\tSaluti, candidato! Perch\u00e9 non fai clic sul collegamento al nostro sito falso Google per pianificare un colloquio? \n\t\t\t\t\t\t\t\t<\/dd>\n\t\t\t\t\t\t\t<\/dl>
\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\n\t\t\t\t\t\t\t\t\t\t\"Un\n\t\t\t\t\t\t\t\t\t<\/a>\n\t\t\t\t\t\t\t\t<\/dt>\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\tIl collegamento contenuto nell'e-mail rimanda a un sito contraffatto con un design indistinguibile dall'originale. All'utente viene richiesto di compilare un modulo: fornire nome completo, e-mail aziendale, numero di telefono e data preferita per il colloquio... \n\t\t\t\t\t\t\t\t<\/dd>\n\t\t\t\t\t\t\t<\/dl>
\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\n\t\t\t\t\t\t\t\t\t\t\"Un\n\t\t\t\t\t\t\t\t\t<\/a>\n\t\t\t\t\t\t\t\t<\/dt>\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\t...Una volta che la vittima compila il modulo, viene visualizzata una richiesta di accesso con le credenziali Google. Tutti questi dati vanno direttamente agli autori degli attacchi\n\t\t\t\t\t\t\t\t<\/dd>\n\t\t\t\t\t\t\t<\/dl><\/div>\n

\u00a0<\/p>\n

Campagne di phishing simili vengono lanciate per conto di altri importanti marchi tecnologici e gli utenti che cedono i dati del proprio account Apple rischiano di perdere non solo il proprio account, ma anche il controllo di tutti i propri dispositivi Apple<\/a>. Gli autori degli attacchi potrebbero spingere la vittima a disconnettersi dal proprio Apple ID personale e ad accedere a un \u201caccount aziendale\u201d per la verifica, che in realt\u00e0 \u00e8 un account Apple di loro propriet\u00e0. Nel momento in cui la vittima lo fa, gli utenti malintenzionati prendono il controllo remoto completo del dispositivo usato, spesso utilizzando la Modalit\u00e0 smarrito per bloccare la vittima e tenere il telefono in cerca di un riscatto.<\/p>\n

A peggiorare le cose, gli utenti malintenzionati non sempre rilasciano un collegamento dannoso nell\u2019e-mail iniziale. Invece, giocano alla lunga: agganciare l\u2019obiettivo in una conversazione chiedendogli di rispondere e confermare il proprio interesse. Questo pretesto crea l\u2019illusione di chattare con un vero recruiter. E questo playbook non \u00e8 nemmeno riservato esclusivamente alla Silicon Valley. Gli autori degli attacchi spesso impersonano nomi familiari riconosciuti a livello globale, come Volvo o Coca-Cola. Ovviamente \u00e8 altamente improbabile che gli autori degli attacchi vogliano l\u2019account Coca-Cola di qualcuno, sempre che l\u2019utente ne abbia uno. Molto probabilmente, l\u2019obiettivo \u00e8 rubare dati sensibili o convincere l\u2019utente ad accedere a un modulo di phishing utilizzando le proprie credenziali Google\/Apple\/Facebook e cos\u00ec via.<\/p>\n

\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\n\t\t\t\t\t\t\t\t\t\t\"E-mail\n\t\t\t\t\t\t\t\t\t<\/a>\n\t\t\t\t\t\t\t\t<\/dt>\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\tUn \"membro del team delle risorse umane\" di Coca-Cola contatta la vittima per elogiarla, raccontando la sua esperienza e i risultati ottenuti, il pensiero analitico e la creativit\u00e0... Gli autori degli attacchi tengono intenzionalmente nascosto il piano finale, che si tratti di indirizzare la vittima verso un sito di phishing, di orchestrare un'acquisizione completa dell'account o di mettere in atto una vera e propria truffa finanziaria. \n\t\t\t\t\t\t\t\t<\/dd>\n\t\t\t\t\t\t\t<\/dl>
\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\n\t\t\t\t\t\t\t\t\t\t\"E-mail\n\t\t\t\t\t\t\t\t\t<\/a>\n\t\t\t\t\t\t\t\t<\/dt>\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\tUn'e-mail simile che finge di provenire dal team di acquisizione talenti di Volvo \n\t\t\t\t\t\t\t\t<\/dd>\n\t\t\t\t\t\t\t<\/dl><\/div>\n

Vuoi ottenere la verifica da parte di Meta?<\/h2>\n

Naturalmente, i \u201clavori da sogno\u201d non sono le uniche esche utilizzate. Abbiamo assistito a campagne in cui una fantomatica \u201cAssistenza Facebook\u201d dice a un utente che \u00e8 stato ritenuto idoneo per il prestigioso badge Meta Verified, un segno di spunta blu normalmente riservato alle celebrit\u00e0 di alto livello e ai marchi globali. Per assicurarsi l\u2019ambito segno di spunta blu, la vittima viene indirizzata a una pagina di phishing in cui viene chiesto di compilare un modulo di identit\u00e0, prima di consegnare il premio finale: il nome utente e la password di Facebook. E tutto in nome della sicurezza, naturalmente!<\/p>\n

Questi siti contraffatti vengono creati in un\u2019ampia variet\u00e0 di lingue e personalizzati per gli utenti di diversi paesi. Di seguito \u00e8 riportata la versione olandese.<\/p>\n

\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\n\t\t\t\t\t\t\t\t\t\t\"Sito\n\t\t\t\t\t\t\t\t\t<\/a>\n\t\t\t\t\t\t\t\t<\/dt>\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\tPer ottenere il segno di spunta blu, l'utente \u00e8 tenuto a fornire \"informazioni aggiuntive\". Se non si rispetta la scadenza (in genere pochi giorni), l'offerta scade \n\t\t\t\t\t\t\t\t<\/dd>\n\t\t\t\t\t\t\t<\/dl>
\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\n\t\t\t\t\t\t\t\t\t\t\"Sito\n\t\t\t\t\t\t\t\t\t<\/a>\n\t\t\t\t\t\t\t\t<\/dt>\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\tDopo che la vittima ha compilato i campi standard (nome, numero di telefono, e-mail personale e aziendale e data di nascita) viene visualizzato un messaggio che richiede la propria password Facebook \n\t\t\t\t\t\t\t\t<\/dd>\n\t\t\t\t\t\t\t<\/dl>
\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\n\t\t\t\t\t\t\t\t\t\t\"Sito\n\t\t\t\t\t\t\t\t\t<\/a>\n\t\t\t\t\t\t\t\t<\/dt>\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\tPer motivi di plausibilit\u00e0, all'utente non viene solo chiesto di compilare i campi con informazioni personali, ma anche di descrivere in dettaglio il motivo per cui la decisione di chiudere l'account \u00e8 stata un errore \n\t\t\t\t\t\t\t\t<\/dd>\n\t\t\t\t\t\t\t<\/dl>
\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\n\t\t\t\t\t\t\t\t\t\t\"Sito\n\t\t\t\t\t\t\t\t\t<\/a>\n\t\t\t\t\t\t\t\t<\/dt>\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\tInfine, all'utente viene richiesto di confermare la richiesta di ricorso accedendo a \"Facebook\". In realt\u00e0, la vittima sta semplicemente fornendo le proprie credenziali agli autori degli attacchi \n\t\t\t\t\t\t\t\t<\/dd>\n\t\t\t\t\t\t\t<\/dl><\/div>\n

Come individuare il phishing e proteggere gli account<\/h2>\n

Purtroppo, gli attacchi di phishing stanno diventando sempre pi\u00f9 sofisticati e gli autori degli attacchi hackerano regolarmente la reputazione di servizi e domini legittimi<\/a>. Ecco come non cadere nelle loro trappole e salvaguardare i dati:<\/p>\n