Redazione
Un avviso di sicurezza diffuso da Google ha messo in allerta 2,5 miliardi di utenti Gmail in tutto il mondo: “aggiornate subito la password”. Il motivo non è una falla nei server di posta, ma la compromissione di un database Salesforce usato internamente per i rapporti commerciali. Un attacco nato a giugno e reso pubblico settimane dopo, che ha permesso a due gruppi criminali di appropriarsi di dati di contatto aziendali. Non si tratta di password rubate, ma di informazioni sufficienti a imbastire campagne di phishing e vishing – email e telefonate fraudolenti – che stanno colpendo utenti di tutto il mondo.
Il caso mostra con chiarezza dove si sposta oggi il rischio: non tanto nei sistemi tecnici, protetti da infrastrutture robuste, quanto nel fattore umano. Una telefonata convincente, un link credibile, una mail con il logo giusto: è sufficiente per spingere milioni di persone a cedere spontaneamente le proprie credenziali. Non serve violare Gmail per entrare in un account, basta che sia l’utente ad aprire la porta.
Cos’è successo
Google lo ha precisato: “Nessuna email Gmail è stata compromessa”. La violazione ha colpito un database Salesforce con un insieme di contatti e nominativi legati all’attività pubblicitaria. In altre parole, non password o messaggi privati, ma informazioni “di superficie” che, una volta finite nelle mani sbagliate, diventano preziose per costruire un inganno. È la differenza tra rubare un portafoglio e recuperare un biglietto da visita: apparentemente poco danno, ma se usato bene può aprire altre porte.
Gli autori sono stati identificati come Unc6040 e Unc6240. I primi hanno condotto il vishing: chiamate a dipendenti di aziende partner, spacciandosi per tecnici autorizzati, fino a convincere la vittima a installare un falso strumento di autenticazione. I secondi si sono occupati della monetizzazione: trasformare i dati ottenuti in campagne di phishing e tentativi di estorsione. È così che, da un database interno, si è generata un’ondata di messaggi fasulli che sembrano arrivare da Google.
La confusione iniziale – con alcune testate che parlavano di “furto di 2,5 miliardi di password Gmail” – ha fatto il resto. Il tam tam social ha amplificato l’idea di un colpo epocale, alimentando l’allarme. In realtà, il problema non è nei server di Google, ma nell’uso dei dati sottratti come leva per rendere più convincenti i raggiri. Un dettaglio che spiega perché l’allerta riguardi tutti, anche chi non è mai entrato in contatto con Salesforce.
Dal phishing al vishing
Il vero punto debole non sono le infrastrutture informatiche, ma la fiducia. Le campagne di phishing emerse dopo la violazione hanno sfruttato email costruite con cura: loghi ufficiali, indirizzi plausibili, testi che richiamano comunicazioni tipiche di Google. Messaggi che segnalavano “spazio di archiviazione esaurito” o chiedevano di “aggiornare subito la password” per motivi di sicurezza. Un clic su un link e l’utente si trovava davanti a una pagina clone della schermata di login: inserendo le credenziali, le consegnava direttamente ai criminali.
Al fianco del phishing si è diffuso il vishing. Telefonate da finti operatori di supporto, tono rassicurante, linguaggio tecnico credibile. Bastava una richiesta: “per verificare l’account ci serve il codice a sei cifre che le arriverà via sms”. Molti lo hanno fornito, convinti di fare la cosa giusta. Il risultato è che, pur senza rubare direttamente i dati dal sistema, i truffatori hanno ottenuto accessi reali, grazie alla collaborazione inconsapevole delle vittime.
Secondo i dati diffusi dal team di ricerca di Google, il phishing e le sue varianti telefoniche rappresentano oggi il 37% dei casi di compromissione degli account. Non servono exploit sofisticati né malware innovativi: basta colpire l’anello più fragile della catena, l’utente.
Dal cambio password alle passkey
Di fronte a questo scenario, la prima raccomandazione di Google è stata semplice: cambiare la password. Non tanto perché sia stata rubata, ma per ridurre la superficie di attacco. Password unica, complessa e non riutilizzata altrove: una misura che resta spesso disattesa, visto che molti utenti usano le stesse credenziali per posta, social e banca online.
Oltre alla password, oggi la difesa più solida è l’autenticazione a due fattori. Non via sms, troppo vulnerabile a intercettazioni, ma tramite Google Prompt o chiavi fisiche Fido. Così, anche se la password finisce in mani sbagliate, l’account resta protetto.
Il passo successivo è l’adozione delle passkey, sistemi che sostituiscono le password con metodi biometrici: impronta digitale o riconoscimento facciale. “A differenza delle password, i passkey possono esistere solo sui tuoi dispositivi”, ricorda Google. Non si possono copiare, né trasmettere per errore.
A completare il quadro c’è la manutenzione di base: aggiornare regolarmente sistemi e app, controllare le notifiche di accesso sospetto, eseguire periodicamente il Security Checkup offerto da Google per verificare dispositivi e autorizzazioni. In parallelo, serve prudenza: diffidare di messaggi urgenti, evitare link sospetti, ignorare richieste telefoniche di codici o password. Difese semplici, ma spesso decisive.
Quando l’account può essere già compromesso
La differenza tra un tentativo bloccato e una compromissione riuscita spesso è la velocità con cui si reagisce. Ci sono segnali che non vanno sottovalutati: password che non funziona più, notifiche di accesso da città sconosciute, email di spam inviate a contatti personali, modifiche improvvise ai dati di recupero. Anche movimenti insoliti su Google Drive, Play o Pay possono essere campanelli d’allarme.
Se si notano anomalie, la prima mossa è cambiare subito la password e attivare il controllo di sicurezza di Google. Subito dopo, revocare le autorizzazioni a dispositivi o app sconosciute e attivare (se non già fatto) l’autenticazione a due fattori. Se dal proprio account sono partiti messaggi indesiderati, avvisare i contatti: è il modo più rapido per contenere il danno ed evitare che anche altri cadano nello stesso tranello.
Per chi ha collegato Gmail a carte o sistemi di pagamento, è fondamentale monitorare i movimenti bancari e, se necessario, avvisare l’istituto. Non è questione di panico, ma di rapidità: prima si interviene, minori sono le conseguenze.
