Questo articolo è stato pubblicato da questo sito
Come si può osservare dallo schema pubblicato da Google qui sopra, la tecnica è quella di convincere l’installazione di una falso strumento di autenticazione sulla piattaforma Salesforce che di solito Google utilizza per il supporto clienti in cloud e da remoto. Ottenuto il lasciapassare, è poi molto semplice per i cybercriminali fare incetta di dati sensibili. Nonostante l’evento sia avvenuto a giugno la sua coda lunga si è estesa fino ad agosto ormai quasi terminato anche per via di informazioni non troppo corrette diffuse da alcuni organi stampa e al seguente tam tam sui social. L’ultimo aggiornamento da parte di Google è dell’8 agosto, con il completamento del processo di notifica alle aziende interessate dal data breach.
Chi è più a rischio
Google ha affermato come dietro le azioni ci siano due gruppi criminali noti come UNC6040 e UNC6240. Il loro scopo non è tanto quello di limitarsi ad accedere a database aziendali, quanto sfruttare le informazioni di contatto per successive attività di phishing e di tentativi di estorsione, per esempio richiedendo un riscatto per non diffondere i dati sensibili ottenuti in precedenza. Secondo quanto diffuso UNC6040 si è occupato dell’attività di vishing, mentre UNC6240 della successiva monetizzazione dell’attacco; Google smentisce infine che nell’intrusione sia implicato il gruppo ShinyHunters, come inizialmente diffuso.
Nel post su Google Cloud si specifica che nessuna email Gmail è stata compromessa, dato che l’attacco ha interessato clientela aziendale. Tuttavia è verosimile immaginare due scenari possibili. Il primo è che i dati legati agli indirizzi coinvolti possano finire al centro di campagne di phishing e vishing secondarie in cui i truffatori contattano le nuove vittime sfruttando proprio le informazioni ottenute nel breach per guadagnare la loro fiducia. Il secondo è che altri gruppi esterni stiano già cavalcando l’interesse sulla vicenda per creare campagne malevole sul tema: per esempio: per esempio, inviando email a pioggia a indirizzi con dominio Gmail e chiedendo ai destinatari di cambiare password per tenersi al sicuro salvo poi depredare le credenziali tramite portali fasulli sviluppati ad hoc.
Cosa fare se si ha una Gmail
Insomma anche se i cybercriminali non hanno recuperato combinazioni di email e password di Gmail come molti temono, è bene mettersi al sicuro con buone abitudini sempre attuali, come:
- cambiare regolarmente la password, magari utilizzando un password manager che non solo le archivia, ma può anche generarne di complesse evitando quelle imbarazzantemente semplici;
- abilitare l’autenticazione a doppio fattore senza l’uso di sms, ma per esempio con una conferma da effettuare sul proprio smartphone principale;
- utilizzare le passkey, che sono un metodo affidabile e molto semplice da impostare;
- controllare molto bene le email ricevute – in questo periodo soprattutto quelle a firma Google – e diffidare da telefonate da parte di presunti tecnici informatici o di supporto.
Infine, può valere la pena visitare il centro sicurezza di Google che permette di verificare eventuali debolezze o criticità in corso relative al proprio account, per un’azione tempestiva di correzione. Per le aziende, Google ha anche pronta una guida per difendersi dal vishing, si trova qui.
