Aggiornamenti recenti Giugno 13th, 2025 12:44 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- EchoLeak: è arrivata la prima vulnerabilità zero clic per le IA (Microsoft 365 Copilot)
- Smartwatch e attacchi acustici: nuova minaccia alle reti isolate
- Microsoft rilascia patch per 67 bug, di cui uno già sfruttato
- Un bug di Google consentiva di scoprire il numero di telefono degli utenti in pochi minuti
- Helmon e la cybersecurity per tutti. Soprattutto le PMI
C’è un bug in Gmail che potrebbe essere sfruttato dai pirati
È possibile inviare email che vengono memorizzate nella cartella dei messaggi inviati. Un trucchetto che potrebbe permettere nuove truffe.
Quella individuata in Gmail non è una vera e propria vulnerabilità, ma piuttosto un piccolo bug che, secondo gli esperti di sicurezza, potrebbe però rappresentare una leva attraverso la quale sarebbe possibile mettere in piedi truffe e attacchi di phishing.
Il problema riguarda il sistemi di filtri applicato dall’applicazione di Google, che può essere “ingannata” per fare in modo che un’email in arrivo venga copiata anche nella casella dei messaggi inviati.
Per farlo è sufficiente alterare il messaggio inserendo l’indirizzo del mittente anche nel campo “Da”. Gmail usa infatti questo parametro per capire quali messaggi sono stati inviati da un account e, quando analizza un messaggio del genere, lo copia anche nella casella “Inviati”.
Qual è il rischio? Secondo quanto scrive lo sviluppatore software Tim Cotten, il pericolo riguarda il phishing e, più in generale, l’invio di messaggi che contengono link pericolosi.
I messaggi di questo genere nella casella di posta in arrivo vengono infatti filtrati e scartati automaticamente, ma lo stesso non accade per quelli che vanno nella cartella della posta inviata.
Un pirata informatico potrebbe quindi mandare un primo messaggio strutturato in questo modo che contiene il link malevolo e poi inviarne un secondo (questa volta “pulito”) per indurre la potenziale vittima a cercare il messaggio inviato e sfruttare la confusione per convincerlo a fare clic sul collegamento.
Non solo: con un sistema del genere i cyber-truffatori avrebbero gioco facile a convincere le loro vittime che il loro computer sia compromesso, magari con un messaggio del tipo “ehi, mi hai appena inviato un messaggio con un virus, è probabile che il tuo computer sia infetto”.
Cotton, inoltre, ha scoperto un altro bug nel sistema che consente di inviare email in cui non viene visualizzato alcun mittente. Secondo lo sviluppatore, un trucchetto del genere permetterebbe di camuffare un messaggio di posta elettronica in modo che sembri una notifica di sistema.
In questo caso la falla riguarda sempre la gestione del nome del mittente, che nel caso sia troppo lungo (per esempio se si usa il tag di un’immagine o uno script) non viene gestito in maniera appropriata e “sparisce”.
Il problema è che la maggior parte delle persone, per capire se un messaggio è vero o si tratta di una truffa, controllano (giustamente) il mittente per vedere se corrisponde a un account legittimo. Nel caso in cui il mittente non ci sia, è molto probabile che una buona fetta di utenti possa cadere nel tranello.
Aspettando che Gmail sistemi i due bug, il consiglio per chi usa il servizi odi posta elettronica di Google è di aumentare il livello di paranoia al massimo e diffidare di qualsiasi messaggio che sembri anche minimamente “strano”. Cosa che, per la verità, bisognerebbe fare sempre…
Condividi l'articolo
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Le aziende italiane prevedono un aumento degli investimenti... La cybersecurity sta acquisendo sempre più importanza tra... -
Sophos Annual Threat Report: i malware e gli strumenti più... Nel 2024, le piccole e medie imprese, spesso considerate il... -
Down di MATLAB: MathWorks conferma l’attacco... MATLAB ha smesso di funzionare per quasi una settimana e... -
Acronis: l’italia traina la crescita MSP Nel corso del “TRU Security Day 2025” di... -
Akamai individua “BadSuccessor” per... I ricercatori di Akamai hanno individuato di recente...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
EchoLeak: è arrivata la prima vulnerabilità zero clic per... Nel gennaio 2025, i ricercatori di Aim Labs hanno... -
Smartwatch e attacchi acustici: nuova minaccia alle reti... Le reti air-gapped, ovvero fisicamente separate da Internet... -
Microsoft rilascia patch per 67 bug, di cui uno già... Nell’aggiornamento di sicurezza di giugno Microsoft... -
Un bug di Google consentiva di scoprire il numero di... Di recente Google ha agito su un bug che consentiva... -
Helmon e la cybersecurity per tutti. Soprattutto le PMI In un contesto nazionale in cui il cyber crime colpisce...
Ransomware: la serie
No posts found.
