Ti Fidi di Google? Il Phishing 2025 arriva da Email “Firmate” Google grazie a Sites e DKIM

E’ notizia recente che un gruppo di hacker ha sfruttato avvisi legittimi di Google trasformandoli in messaggi di phishing.

Cosa c’è di più inquietante di quando qualcosa a cui sei abituato e di cui ti fidi  viene compromessa? Prima di farti prendere dal panico, ricorda che esistono vari metodi per verificare l’affidabilità di un’email, e che quando leggerai questa news probabilmente Google sarà già intervenuto per correggere questa sua vulnerabilità

Ti racconto di seguito cosa è successo  perchè ci sono diversi aspetti molto interessanti ma  tu ricorda di non abbassare mai la guardia.

Il phishing si fa sempre più evoluto e chi pensava che una mail firmata Google fosse sicura ha dovuto  recentemente ricredersi, infatti una degli attacchi di phishing più sofisticati delle ultime settimane ha messo in luce una vulnerabiltà di Google e dimostrato che i soliti malintezionati ne inventano ogni giorno una nuova.

Il protagonista è Nick Johnson, uno sviluppatore noto principalmente per il suo ruolo di capo sviluppatore dell’Ethereum Name Service (ENS),  sulla cui  mail personale è arrivata un’email fraudolenta molto ben congegnata.
Peccato che Johnson sia un vero geek!  Ha ricevuto un’email che sembrava legittima, proveniente da no-reply@accounts.google.com, senza alcun avviso di sicurezza da parte di Gmail. Il messaggio lo indirizzava a una pagina su Google Sites.
Dopo aver esaminato il contenuto, Johnson ha notato che il link rimandava a sites.google.com, dove una falsa interfaccia di supporto Google chiedeva le credenziali dell’utente. L’email sfruttava una firma DKIM valida di Google, ottenuta tramite un’app OAuth fraudolenta creata dagli attaccanti.
Dopo aver analizzato il meccanismo dell’attacco, Johnson ha segnalato la vulnerabilità a Google tramite un bug report. Inizialmente, la segnalazione è stata chiusa con la motivazione che “funzionava come previsto”. Tuttavia, la pressione mediatica successiva ha spinto Google a riconoscere il problema e implementare le correzioni necessarie.

L’attacco è stato attribuito a un gruppo chiamato Rockfoils, noto per le sue campagne di phishing mirate. Questo episodio ha messo in luce due falle critiche: l’uso improprio di Google Sites per ospitare contenuti malevoli e l’abuso del sistema di notifiche OAuth di Google per generare email apparentemente autentiche.

In pratica gli hacker hanno creano un nuovo account Google e usato un dominio che sembra credibile. Poi hanno creato una finta app OAuth, che permetteva ad un’app di accedere alle informazioni del tuo account senza chiedere la password, dandole un nome che sembrava un avviso urgente di Google.

Quando l’app ha ottenuto l’accesso, Google inviava automaticamente una email di notifica che sembrava ufficiale, con firma digitale. Gli hacker inoltravano questa email, che arrivava da “no-reply@google.com”.

Nell’email c’era un link che portava a una pagina su sites.google.com, che imitava il supporto ufficiale di Google. Se la vittima cliccava, veniva reindirizzata ad una falsa pagina di login, dove inserendo email e password, le consegnava direttamente agli hacker.

Non so quanti se ne serebbero accorti!

• Email firmata da Google: la firma DKIM è autentica e non modificata
• Link su dominio Google: aumenta la fiducia dell’utente
• Interfaccia perfettamente imitata: rende la truffa credibile.
• Mittente mostrato come “me”: sembra una notifica personale.

Di fronte ad attacchi così ingegnosi, affidarsi solo ai controlli standard non basta più. Ecco perché soluzioni avanzate come Libraesva rappresentano una barriera efficace:
• Protezione attiva sui link (Active URL Protection): analizza i collegamenti al momento del click, anche su domini fidati, bloccando le minacce in tempo reale.
• Sandboxing avanzato: allegati e documenti vengono aperti in ambienti isolati per rilevare comportamenti pericolosi o evasivi.
• Difesa comportamentale con AI: il motore Adaptive Trust Engine apprende le abitudini di comunicazione dell’organizzazione, segnalando anomalie anche se l’email supera i controlli tecnici.
• Analisi semantica e reputazionale: valuta non solo i dati tecnici, ma anche il contenuto del messaggio e la reputazione del mittente grazie al machine learning.
• Remediation rapida: consente di eliminare istantaneamente email dannose dalle caselle di posta aziendali.
• Aggiornamento costante delle regole di rilevamento: per rimanere al passo con le nuove tecniche di attacco.

L’attacco che ha colpito gli utenti tramite Google Sites e firme DKIM valide dimostra che l’ingegno dei cybercriminali è in costante evoluzione. È fondamentale che anche le difese lo siano. Libraesva, con il suo approccio proattivo e multilivello, offre una risposta solida e concreta anche contro phishing che sembrano “impossibili” da individuare.