Netcrook Logo
👤 LOGICFALCON
🗓️ 05 Mar 2026  

Nuvole di Inganno: come i cybercriminali dirottano la fiducia in Google per sofisticati attacchi di phishing

Un nuovo schema di phishing arma Google Cloud Storage per eludere la sicurezza e rubare i dati sensibili delle vittime.

Immagina di cliccare un link nella tua casella di posta, rassicurato dal familiare dominio “googleapis.com”, per poi ritrovarti intrappolato in una trappola tesa dai cybercriminali. Questa è la realtà per migliaia di persone coinvolte in un’astuta campagna di phishing che sfrutta la credibilità della stessa infrastruttura cloud di Google. Gli attaccanti hanno trasformato il marchio tecnologico più fidato al mondo in un complice inconsapevole, rendendo i loro reindirizzamenti malevoli quasi invisibili persino agli utenti più attenti e ai sistemi di sicurezza più robusti.

L’anatomia di un attacco di phishing su piattaforma fidata

Al cuore di questa campagna c’è un ingegnoso stratagemma tecnico: gli attaccanti creano un “bucket” personalizzato di Google Cloud Storage chiamato whilewait, inserendovi un file HTML malevolo (comessuccess.html). Quando le vittime cliccano il link incorporato in un’email di phishing, vengono inviate a una pagina ospitata su storage.googleapis.com - un dominio così affidabile che la maggior parte dei filtri email lo lascia passare senza nemmeno un secondo sguardo. Ma questa pagina non è un porto sicuro; reindirizza silenziosamente gli utenti verso siti esterni progettati per rubare i dettagli delle carte di credito o installare malware.

L’uso dell’infrastruttura di Google non è casuale. I cybercriminali sanno che domini come googleapis.com sono inseriti in whitelist da molte organizzazioni, rendendo facile superare le difese tradizionali come SPF, DKIM e i controlli di base sulla reputazione del dominio. Questa tecnica di “phishing su piattaforma fidata” sta rapidamente guadagnando popolarità tra gli attori della minaccia che cercano di massimizzare la portata e minimizzare il rilevamento.

Ingegneria sociale in azione

Le email stesse sono vere e proprie masterclass di manipolazione psicologica. Alcune affermano che il tuo “Cloud Storage è pieno” o avvertono di un alert “Protezione antivirus scaduta”, facendo leva su paura e urgenza. Altre promettono ricompense da marchi noti o offrono consigli sulla salute, stuzzicando curiosità e desiderio. In tutti i casi, l’obiettivo è lo stesso: farti cliccare il link e inserire informazioni sensibili su un sito fraudolento.

I ricercatori di sicurezza hanno ricondotto queste tattiche a modelli di minaccia consolidati, inclusi allegati e link di spearphishing, nonché l’abuso di servizi remoti per catene di reindirizzamento. La varietà della campagna rende più difficile attribuirla con precisione, con oltre 25 esche email distinte identificate.

Proteggere te stesso e Internet

Quindi, cosa puoi fare? Gli esperti raccomandano un sano scetticismo verso qualsiasi email che ti inviti a cliccare un link - anche se sembra provenire da Google. Presta molta attenzione agli indirizzi del mittente, cerca strane sequenze di caratteri e analizza con cura gli URL che iniziano con storage.googleapis.com. Se ti imbatti in contenuti sospetti ospitati nel cloud, segnalali al team antiabuso di Google per contribuire a smantellare queste infrastrutture criminali.

Quest’ultima campagna è un monito netto: persino le tecnologie più affidabili possono essere piegate a fini malevoli. Nel gioco del gatto e del topo in continua evoluzione della criminalità informatica, vigilanza ed educazione restano le nostre difese più forti.

WIKICROOK

  • Google Cloud Storage (GCS): Google Cloud Storage è un servizio di archiviazione online di file sicuro e scalabile di Google, utilizzato per ospitare dati, backup e contenuti web.
  • Phishing: Il phishing è un crimine informatico in cui gli attaccanti inviano messaggi falsi per indurre gli utenti a rivelare dati sensibili o a cliccare link malevoli.
  • Redirect: Un redirect invia automaticamente i visitatori da un indirizzo web a un altro, spesso usato quando i siti si spostano, cambiano o vengono messi offline.
  • SPF (Sender Policy Framework): Un metodo di autenticazione email che verifica se un server di posta è autorizzato a inviare messaggi per un dominio specifico.
  • DKIM (DomainKeys Identified Mail): DKIM è un sistema di sicurezza email che usa firme digitali per dimostrare che le email sono autentiche e non sono state alterate, aiutando a prevenire lo spoofing.
Phishing Google Cloud Cybercrime
LOGICFALCON LOGICFALCON
Log Intelligence Investigator
← Back to news