Milioni di utenti Gmail in tutto il mondo sono stati messi in allerta da un nuovo attacco informatico che sfrutta tecnologie avanzate, tra cui intelligenza artificiale e ingegneria sociale, per aggirare i sistemi di sicurezza di Google. A lanciare l’allarme sono esperti di cybersecurity, che hanno definito la minaccia “estremamente sofisticata” e in grado di ingannare anche gli utenti più esperti.
Un attacco che inizia con una telefonata AI
La nuova truffa, attribuita al gruppo hacker noto come Rockfoils, inizia con una telefonata generata da intelligenza artificiale. Le voci simulate riescono a imitare un tono professionale o urgente, spesso con riferimenti a presunte violazioni legali o problemi di sicurezza legati all’account Google.
Subito dopo, la vittima riceve un’e-mail apparentemente inviata da un indirizzo ufficiale Google (@google.com). Il messaggio contiene un link che rimanda a una pagina di accesso visivamente identica al sito autentico di Google, ma in realtà si tratta di un sito falso progettato per rubare le credenziali.
Una truffa che inganna anche i più esperti
Uno dei casi più emblematici è quello di Nick Johnson, sviluppatore tecnologico, che ha raccontato di aver ricevuto un’e-mail riguardante un presunto ordine di comparizione legale, con richiesta di accesso totale al suo account. Il messaggio, firmato da un indirizzo “no-reply@google.com“, è riuscito a passare i controlli di sicurezza di Gmail, finendo nella casella principale come fosse un avviso legittimo.
“È spaventosamente convincente. Tutto sembrava autentico,” ha dichiarato Johnson.
Google conferma: vulnerabilità temporanee in fase di risoluzione
Google ha riconosciuto l’esistenza dell’attacco e ha confermato che il gruppo criminale sta sfruttando falle temporanee nei sistemi di protezione, già in fase di patch. L’azienda sottolinea però che la difesa più efficace resta nelle mani degli utenti e invita alla massima cautela.
Come proteggersi da questa nuova minaccia Gmail
Ecco alcune misure di sicurezza consigliate per proteggere il proprio account Google:
1. Attivare l’autenticazione a due fattori (2FA)
Richiede un codice aggiuntivo oltre alla password. Può essere inviato via SMS o generato da un’app (es. Google Authenticator).
2. Utilizzare passkey o chiavi di sicurezza
Le passkey eliminano la necessità di una password, sostituendola con autenticazione biometrica (impronta digitale, riconoscimento facciale) o PIN.
3. Non cliccare su link sospetti nelle email
Anche se sembrano autentici, evita di accedere a Google tramite link ricevuti. Digita manualmente l’indirizzo nel browser.
4. Verifica sempre l’indirizzo del mittente
Diffida di domini come google-support.com o account-google.net: non sono ufficiali, anche se possono sembrare legittimi.
5. Segnala sempre le email sospette
In Gmail puoi cliccare sui tre puntini in alto a destra nell’email e selezionare “Segnala phishing”.
Un nuovo livello di inganno: AI e ingegneria sociale combinati
Secondo Spencer Starkey, vicepresidente di SonicWall, ciò che rende pericoloso questo attacco è la perfetta integrazione tra intelligenza artificiale e tecniche di manipolazione psicologica. Le telefonate creano un senso di urgenza, generando panico e inducendo l’utente a compiere azioni senza riflettere.
“Non si limitano a copiare i siti. Studiano il comportamento delle persone per spingerle a fidarsi,” spiega Starkey.
Conclusione: la prima linea di difesa sei tu
Nonostante l’impegno continuo di Google per migliorare i propri sistemi di sicurezza, la consapevolezza degli utenti resta l’arma più potente contro queste truffe. In un’epoca in cui l’intelligenza artificiale viene sfruttata per truffare su larga scala, la prudenza e la verifica sono essenziali.
