Aggiornato il: 01-03-2019 12:19
Il blog di Wordfence (e molte testate e blog di sicurezza italiane, di conseguenza) hanno pubblicato un allarme su un nuovo tipo di infezione particolarmente infida per chi naviga sul web: Google ha successivamente confermato di essere a conoscenza del problema, che appare legato (almeno in parte) alla nascente caratteristica che entro fine mese mostrerà i siti privi di certificato SSL come “non sicuri” per attività di pagamento ed analoghe.
Un nuovo tipo di attacco informatico sta minando la sicurezza dei titolari di account Gmail, che sono spesso preziosi – ricordiamo – perchè forniscono accesso unificato a più di un servizio, di cui alcuni a pagamento (Adsense, Adwords, ecc.) ed altri di natura prettamente riservata (Analytics, Search Console), per cui è opportuno sapere che il problema effettivamente esiste. Si tratta di un caso di phishing in cui l’indirizzo web è mascherato in maniera molto subdola, e ciò finisce per rendere molto difficile accorgersi del problema anche se abbiamo una discreta esperienza di navigazione.
L’attacco mira account Gmail, ma a quanto pare potrebbe colpire anche webmail di altro genere. Tipicamente la mail ingannevole vi arriverà da un contatto di vostra conoscenza (infettato a sua volta), che potrebbe contenere un’immagine allegata ben riconoscibile da parte del mittente. A questo punto basta fare click sull’immagine in questione perchè scatti l’infezione, che apparentemente ci slogga da Gmail chiedendoci di fare nuovamente login.
La schermata ingannevole presenta un URL fatto in questo modo, con il prefisso data:text/html, poi https seguito dall’indirizzo Gmail effettivo; l’indirizzo anche se sembra autentico non lo è, per cui non deve essere seguito!
Il problema è che nella parte successiva dell’URL, ben nascosto e visibile solo su schermi ad altissima risoluzione, è nascosto uno script malevolo pronto ad essere eseguito che vi sottoporrà una schermata di Gmail del tutto identica all’originale, al solo scopo di rubarvi le credenziali di accesso. Proteggersi da queste insidie passa necessariamente per l’utilizzo dell’autenticazione a due fattori, ed è anche bene fare sempre molta attenzione a qualsiasi cosa venga cliccata perchè nel 90% dei casi l’infezione scatta a causa di un click involontario.
Ma come è possibile tecnicamente una cosa del genere? La visione completa dell’URL (gli spazi non vengono considerati nel browser, e favoriscono l’infiltrazione dello script di infzione) dovrebbe chiarire il meccanismo di infezione.
Se la connessione fosse autenticamente di Google (e qui si capisce l’importanza di un certificato SSL per il proprio sito) sarebbe apparsa in modo visibilmente diverso nell’interfaccia, come mostrato nella screen seguente (si noti https in verde).
Google ha sottolineato che fare attenzione a quest’ultimo dettaglio è l’unico modo per limitare l’incorrere di casi del genere. Secondo un commentatore del sito Hacker News (probabilmente lo stesso che ha rilevato il problema per primo) il problema è piuttosto subdolo perchè l’immagine è particolarmente credibile.
(fonte)
