Aggiornamenti recenti Maggio 22nd, 2026 12:00 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Kaspersky: gli agenti IA cambiano la fiducia aziendale
- HackerOne taglia drasticamente le ricompense dei bug bounty
- Attacco ai router Huawei dietro blackout telecom del Lussemburgo
- MSHTA, lo “zombie” di IE che alimenta attacchi su Windows
- NGINX Rift, rischio RCE per una falla rimasta nascosta 18 anni
C’è un bug in Gmail che potrebbe essere sfruttato dai pirati
È possibile inviare email che vengono memorizzate nella cartella dei messaggi inviati. Un trucchetto che potrebbe permettere nuove truffe.
Quella individuata in Gmail non è una vera e propria vulnerabilità, ma piuttosto un piccolo bug che, secondo gli esperti di sicurezza, potrebbe però rappresentare una leva attraverso la quale sarebbe possibile mettere in piedi truffe e attacchi di phishing.
Il problema riguarda il sistemi di filtri applicato dall’applicazione di Google, che può essere “ingannata” per fare in modo che un’email in arrivo venga copiata anche nella casella dei messaggi inviati.
Per farlo è sufficiente alterare il messaggio inserendo l’indirizzo del mittente anche nel campo “Da”. Gmail usa infatti questo parametro per capire quali messaggi sono stati inviati da un account e, quando analizza un messaggio del genere, lo copia anche nella casella “Inviati”.
Qual è il rischio? Secondo quanto scrive lo sviluppatore software Tim Cotten, il pericolo riguarda il phishing e, più in generale, l’invio di messaggi che contengono link pericolosi.
I messaggi di questo genere nella casella di posta in arrivo vengono infatti filtrati e scartati automaticamente, ma lo stesso non accade per quelli che vanno nella cartella della posta inviata.
Un pirata informatico potrebbe quindi mandare un primo messaggio strutturato in questo modo che contiene il link malevolo e poi inviarne un secondo (questa volta “pulito”) per indurre la potenziale vittima a cercare il messaggio inviato e sfruttare la confusione per convincerlo a fare clic sul collegamento.
Non solo: con un sistema del genere i cyber-truffatori avrebbero gioco facile a convincere le loro vittime che il loro computer sia compromesso, magari con un messaggio del tipo “ehi, mi hai appena inviato un messaggio con un virus, è probabile che il tuo computer sia infetto”.
Cotton, inoltre, ha scoperto un altro bug nel sistema che consente di inviare email in cui non viene visualizzato alcun mittente. Secondo lo sviluppatore, un trucchetto del genere permetterebbe di camuffare un messaggio di posta elettronica in modo che sembri una notifica di sistema.
In questo caso la falla riguarda sempre la gestione del nome del mittente, che nel caso sia troppo lungo (per esempio se si usa il tag di un’immagine o uno script) non viene gestito in maniera appropriata e “sparisce”.
Il problema è che la maggior parte delle persone, per capire se un messaggio è vero o si tratta di una truffa, controllano (giustamente) il mittente per vedere se corrisponde a un account legittimo. Nel caso in cui il mittente non ci sia, è molto probabile che una buona fetta di utenti possa cadere nel tranello.
Aspettando che Gmail sistemi i due bug, il consiglio per chi usa il servizi odi posta elettronica di Google è di aumentare il livello di paranoia al massimo e diffidare di qualsiasi messaggio che sembri anche minimamente “strano”. Cosa che, per la verità, bisognerebbe fare sempre…
Condividi l'articolo
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Kaspersky: gli agenti IA cambiano la fiducia aziendale Gli agenti di intelligenza artificiale sono ormai entrati... -
Un dipendente su otto considera accettabile vendere le... Il problema del dipendente “infedele” è vecchio quanto... -
Honeypot intelligenti: come gli agenti AI ingannano gli... Stanno arrivando, ma non nascono già pronti. Stiamo... -
I dati sono recuperabili (troppo) facilmente dalle auto... Come sappiamo, le auto moderne sono sempre più simili a... -
Reset password: una misura di sicurezza che diventa Vi ricordate il vecchio adagio “cambia la password almeno...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
HackerOne taglia drasticamente le ricompense dei bug bounty L’epoca d’oro dei bug bounty potrebbe stare entrando in... -
Attacco ai router Huawei dietro blackout telecom del... Un attacco informatico basato su una vulnerabilità... -
MSHTA, lo “zombie” di IE che alimenta attacchi su... Nonostante Internet Explorer sia ormai ufficialmente morto... -
NGINX Rift, rischio RCE per una falla rimasta nascosta 18... Una vulnerabilità critica rimasta nascosta per quasi due... -
Falso repository OpenAI su Hugging Face distribuisce La corsa all’AI sta creando nuove superfici di attacco...
Ransomware: la serie
No posts found.