Aggiornamenti recenti Maggio 8th, 2024 2:00 PM
Nov 19, 2018 Marco Schiaffino Hacking, News, Phishing, RSS, Vulnerabilità 0
Quella individuata in Gmail non è una vera e propria vulnerabilità, ma piuttosto un piccolo bug che, secondo gli esperti di sicurezza, potrebbe però rappresentare una leva attraverso la quale sarebbe possibile mettere in piedi truffe e attacchi di phishing.
Il problema riguarda il sistemi di filtri applicato dall’applicazione di Google, che può essere “ingannata” per fare in modo che un’email in arrivo venga copiata anche nella casella dei messaggi inviati.
Per farlo è sufficiente alterare il messaggio inserendo l’indirizzo del mittente anche nel campo “Da”. Gmail usa infatti questo parametro per capire quali messaggi sono stati inviati da un account e, quando analizza un messaggio del genere, lo copia anche nella casella “Inviati”.
Qual è il rischio? Secondo quanto scrive lo sviluppatore software Tim Cotten, il pericolo riguarda il phishing e, più in generale, l’invio di messaggi che contengono link pericolosi.
I messaggi di questo genere nella casella di posta in arrivo vengono infatti filtrati e scartati automaticamente, ma lo stesso non accade per quelli che vanno nella cartella della posta inviata.
Un pirata informatico potrebbe quindi mandare un primo messaggio strutturato in questo modo che contiene il link malevolo e poi inviarne un secondo (questa volta “pulito”) per indurre la potenziale vittima a cercare il messaggio inviato e sfruttare la confusione per convincerlo a fare clic sul collegamento.
Non solo: con un sistema del genere i cyber-truffatori avrebbero gioco facile a convincere le loro vittime che il loro computer sia compromesso, magari con un messaggio del tipo “ehi, mi hai appena inviato un messaggio con un virus, è probabile che il tuo computer sia infetto”.
Cotton, inoltre, ha scoperto un altro bug nel sistema che consente di inviare email in cui non viene visualizzato alcun mittente. Secondo lo sviluppatore, un trucchetto del genere permetterebbe di camuffare un messaggio di posta elettronica in modo che sembri una notifica di sistema.
In questo caso la falla riguarda sempre la gestione del nome del mittente, che nel caso sia troppo lungo (per esempio se si usa il tag di un’immagine o uno script) non viene gestito in maniera appropriata e “sparisce”.
Il problema è che la maggior parte delle persone, per capire se un messaggio è vero o si tratta di una truffa, controllano (giustamente) il mittente per vedere se corrisponde a un account legittimo. Nel caso in cui il mittente non ci sia, è molto probabile che una buona fetta di utenti possa cadere nel tranello.
Aspettando che Gmail sistemi i due bug, il consiglio per chi usa il servizi odi posta elettronica di Google è di aumentare il livello di paranoia al massimo e diffidare di qualsiasi messaggio che sembri anche minimamente “strano”. Cosa che, per la verità, bisognerebbe fare sempre…
Mag 07, 2024 0
Mag 06, 2024 0
Apr 29, 2024 0
Apr 29, 2024 0
Mag 08, 2024 0
Mag 08, 2024 0
Mag 07, 2024 0
Mag 06, 2024 0
Mag 08, 2024 0
Le aziende italiane continuano a essere uno degli obiettivi...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft: tra...Mag 06, 2024 0
Gli scanner di vulnerabilità, ovvero i software usati per...Mag 03, 2024 0
Sempre più spesso si discute delle crescenti capacità...Apr 29, 2024 0
Lo United States Postal Service (USPS), l’agenzia...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Mag 08, 2024 0
Le aziende italiane continuano a essere uno degli obiettivi...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 07, 2024 0
A fine aprile i ricercatori di Kandji, piattaforma perMag 07, 2024 0
Gli attacchi di phishing non si fermano e i marchi...Mag 06, 2024 0
Questa settimana, il CERT-AGID ha identificato e analizzato...