Arriva una chiamata e perdi l’accesso alla tua mail: come funziona la truffa del finto dipendente Google

Arriva una chiamata, dall'altra parte del telefono risponde un dipendente Google: "Ti abbiamo contattato perché serve una verifica del tuo account, necessaria per le tue richieste di modifica", dice. Poi inizia a fare una serie di domane, chiede dati, chiavi di accesso, il vero obiettivo è l'autenticazione a due fattori, una volta ottenuto questo codice, gli hacker possono accedere all’account, bypassando le misure di sicurezza.

L’allarme è partito da Reddit, un utente – con lo pseudonimo “EvilKittensCo” – ha raccontato di aver ricevuto una telefonata da un finto addetto alla sicurezza di Google. Il truffatore sosteneva di dover effettuare controlli sull’account dell’utente e, con questa scusa, chiedeva di comunicare il codice 2FA ricevuto via SMS. L’utente ha avuto la prontezza di contattare Google per verificare l'autenticità della richiesta, scoprendo così che si trattava di un tentativo di truffa. 

La truffa dell'autenticazione a due fattori

Siamo di fronte a un caso di spoofing è un tipo di attacco informatico che mette in atto diverse strategie per falsificare l'identità (spoof). Gli hacker quindi modificano le informazioni come numero di telefono, mail, o siti web per fingersi per esempio un'azienda e intercettare informazioni riservate ed effettuare un attacco. In questo caso, il servizio clienti di Google.

L'azienda ha  spiegato a Forbes: "Abbiamo rafforzato le nostre difese per proteggere gli utenti da questo tipo di abuso e sospeso gli account che hanno utilizzato impropriamente i servizi Google in queste truffe. Incoraggiamo tuttavia tutti gli utenti a rimanere vigili: vi preghiamo di ribadire ai vostri lettori che Google non vi contatterà per reimpostare la password o risolvere problemi relativi all’account."

Cosa fare se si è vittima della truffa

I campanelli d'allarme ci sono. Innanzitutto, l’assistenza di Google non contatta mai gli utenti di Gmail tramite telefono, a meno che non si tratti di comunicazioni destinate a contatti aziendali. Non solo, la regola d'oro è non condividere mai informazioni personali come le chiavi di accesso o l'autenticazione a due fattori via telefono, se ve la chiedono allora è molto probabile che si tratti di una truffa. 

Gli esperti di Google suggeriscono a tutti gli utenti di Gmail di "impostare un numero di telefono e un'email di recupero" sul proprio account, da utilizzare nel caso in cui un aggressore cambi le credenziali o se si dimentica la password. Come titolare legittimo dell'account Google, infatti, hai a disposizione una settimana intera per riprendere il controllo, anche se è stato cambiato il numero di telefono di recupero. "Il nostro processo automatico di recupero consente all'utente di utilizzare i propri dati di recupero originali per un periodo di sette giorni dopo la modifica, purché li abbia configurati prima dell'incidente".