Nuvole di Inganno: i phisher trasformano l’infrastruttura di Google in un’arma

Quando si parla di truffe online, la fiducia è la più affilata delle lame a doppio taglio. In una nuova e sfrontata campagna, i cybercriminali stanno dirottando la credibilità della stessa infrastruttura cloud di Google - trasformando un pilastro di internet in una piattaforma di lancio per attacchi di phishing che poche vittime vedono arrivare.

L’anatomia di una truffa su una piattaforma fidata

Ricercatori di sicurezza hanno recentemente scoperto un’ondata di phishing sofisticata che sfrutta Google Cloud Storage (GCS) come ospite inconsapevole dei propri reindirizzatori malevoli. Gli attaccanti hanno creato un bucket GCS chiamato “whilewait”, caricando un file HTML dall’aspetto innocuo - comessuccess.html. In superficie, i link a questo file appaiono del tutto legittimi, poiché risiedono sotto il dominio ampiamente affidabile googleapis.com.

È questo gioco di prestigio tecnico a rendere la campagna così insidiosa. La maggior parte dei filtri email e dei gateway di sicurezza si fida intrinsecamente dei link che puntano ai domini di Google, consentendo a queste email di phishing di superare anche difese attente. Le email degli attaccanti sono realizzate una per una, usando leve emotive che vanno da avvisi urgenti sull’account (“Spazio di archiviazione dell’Account Google pieno”), a minacce alla sicurezza (“Minaccia critica rilevata”), fino a offerte allettanti di marchi noti o consigli di lifestyle. Tutte le strade, però, portano alla stessa trappola: un clic sul link reindirizza silenziosamente l’utente lontano da Google verso una finta pagina di pagamento o di ricompensa.

Dal clic alla compromissione

Una volta sul sito di destinazione fraudolento, alle vittime viene chiesto di inserire informazioni di pagamento sensibili - spesso con il pretesto di spese di spedizione, recupero dell’account o riscossione di un premio. Non appena i dati vengono inseriti, vengono sottratti e inviati a sistemi controllati dagli attaccanti, aprendo la strada a frodi con carte di credito o furto d’identità. I ricercatori definiscono questa tattica “Trusted-Platform Phishing”, a indicare la tendenza crescente ad abusare di provider cloud affidabili per prolungare la vita dell’infrastruttura malevola.

Con oltre 25 campioni di phishing analizzati, la campagna dimostra sia ingegnosità tecnica sia manipolazione psicologica. L’uso dell’infrastruttura di Google non solo aumenta la credibilità, ma complica anche rilevamento e rimozione, lasciando gli utenti finali particolarmente vulnerabili.

Cosa puoi fare?

Gli esperti invitano utenti e organizzazioni a esaminare con attenzione i percorsi di reindirizzamento, soprattutto quelli che iniziano con storage.googleapis.com, e a verificare i dettagli del mittente alla ricerca di incongruenze. Segnalare bucket sospetti al Team Abuse di Google Cloud è essenziale per interrompere campagne di questo tipo. In definitiva, questo attacco è un monito netto: anche le piattaforme più fidate possono essere trasformate in armi, e la vigilanza resta la nostra migliore difesa nel panorama mutevole del cybercrimine.

WIKICROOK

• Phishing: Il phishing è un crimine informatico in cui gli attaccanti inviano messaggi falsi per indurre gli utenti a rivelare dati sensibili o a cliccare su link malevoli.
• Google Cloud Storage (GCS): Google Cloud Storage è un servizio di archiviazione online di file sicuro e scalabile di Google, usato per ospitare dati, backup e contenuti web.
• Redirector: Un redirector inoltra gli utenti da un URL a un altro, spesso usato nelle truffe per nascondere la vera destinazione di link malevoli o di phishing.
• SPF e DKIM: SPF e DKIM sono protocolli di sicurezza email che verificano l’autenticità del mittente e impediscono lo spoofing delle email, contribuendo a proteggere da phishing e spam.
• Ingegneria sociale: L’ingegneria sociale è l’uso dell’inganno da parte degli hacker per indurre le persone a rivelare informazioni riservate o a fornire accesso non autorizzato ai sistemi.