Account Google violati: si rompe un altro tabù

Security Awareness
25 Gennaio 2024
Account Google a Rischio

Dire Google oggi significa addentrarsi in un mondo di cui è difficile vedere i confini.
C’è chi lo vede come un grande fratello di orwelliana memoria, una sorta di entità che spia ogni nostra mossa, conosce i nostri gusti, raccoglie i nostri dati.
Gli obiettivi per i più ottimisti sono solo economici, per i più catastrofisti sono diabolici e puntano alla manipolazione e al controllo della popolazione.

Dall’altro lato ci sono invece i fanatici, che ne sono totalmente dipendenti usufruendo di tutte le possibilità e i servizi che questo motore di ricerca mette oggi a disposizione. Insomma, quelli che consegnano a Google e a tutte le sue diramazioni, la totalità delle loro attività sul web, cioè praticamente delle loro vite, senza farsi troppi problemi, anzi felici di farlo.

Ecco, in particolare per questi ultimi, dei quali, diciamo la verità, facciamo parte, chi più chi meno, un po’ tutti noi che passiamo tante ore davanti a un monitor, uno degli ultimi malware di cui si sente parlare, scoperto dai ricercatori di CloudSek, potrebbe rappresentare una seria preoccupazione.

La nuova minaccia

Si tratta di una nuova minaccia che mette a rischio proprio gli account Google degli utenti.
Lo fa sfruttando i cookie di terze parti per ottenere un accesso non autorizzato ai dati privati delle persone, utilizzando un metodo piuttosto sofisticato per aggirare le difese.

A svelare la notizia è stato, lo scorso ottobre, un hacker che ha divulgato su un gruppo Telegram i dettagli dell’operazione, mostrando una vulnerabilità legata ai cookie, elementi utilizzati da siti web e dai browser per monitorare l’esperienza degli utenti.

Il malware riesce a recuperare i cookie di autenticazione di Google, consentendo ai criminali di bypassare persino l’autenticazione a due fattori.

Quindi, una volta compromesso un account, i malintenzionati possono mantenere un accesso continuo ai servizi Google, anche a seguito di un cambio di password da parte della vittima.

Un brutto risveglio per le vittime che si ritrovano praticamente bloccate su tutti i fronti, sia lavorativi sia di attività quotidiane.

I ricercatori di CloudSEK hanno dichiarato che il malware che ruba le informazioni abusando di questa funzione ora ruberà più token da Google Chrome.

Questi token includono, oltre a tutti i cookie di autenticazione per i siti Google, anche un token speciale che può essere utilizzato per aggiornare, o generare, nuovi token di autenticazione che sostituiscono quelli scaduti, consentendo un accesso agli account per un periodo di tempo molto più lungo di quello normalmente consentito.

La reazione di Google

Google dal canto suo minimizza e tranquillizza gli utenti in una dichiarazione rilasciata a BleepingComputer:

“Gli attacchi che coinvolgono malware che rubano cookie e token non sono nuovi; aggiorniamo regolarmente le nostre difese contro queste tecniche per proteggere le vittime di malware. In questo caso, Google ha preso provvedimenti per mettere in sicurezza tutti gli account compromessi individuati”.

Il motore di ricerca inoltre propone una soluzione che ad alcuni pare piuttosto semplicistica: suggerire alle vittime di uscire dal browser Chrome o chiudere tutte le sessioni attive dalla pagina g.co/mydevices.

“Nel frattempo – raccomanda Google – gli utenti dovrebbero continuare a rimuovere qualsiasi malware dal proprio computer e attivare la funzione Navigazione sicura avanzata per il tuo account in Chrome per proteggersi dal phishing e dai download di malware”.

Ma il problema, secondo alcuni, è che la maggior parte delle volte le vittime sono inconsapevoli di essere state infettate da questo tipo di malware, almeno fino a quando l’abuso diventa palese. Per loro sarà dunque difficile capire quando eseguire i vari passaggi suggeriti da Google.

Il caso di Orange España

A questro proposito è stato segnalato il caso di Orange España, secondo provider di telefonia mobile iberico, che ha subito un attacco di questo tipo lo scorso 3 gennaio.

Un cyber criminale è riuscito a rubare a un dipendente della compagnia la password di amministrazione degli apparati di rete, per poi accedere alla routing table che regola il traffico della compagnia. Tuttavia, nessuno se n’è accorto finché le credenziali sono state utilizzate per accedere all’account RIPE1 dell’azienda.

Secondo le informazioni che circolano in rete, Google afferma di aver individuato le persone colpite e di averle avvisate ma, a parte questo, finora non ha effettuato ulteriori iniziative per la risoluzione del problema.

Sembra quasi, ma questa è solo un’interpretazione, che il colosso con sede a Mountain View, in California, non sappia bene che pesci prendere e stia tergiversando nel dare risposte certe.

In questa situazione molto nebulosa e ingarbugliata, l’unica cosa chiara è che il pericolo che i nostri account Google vengano manomessi con gravi conseguenze, soprattutto in ambito professionale, è piuttosto concreto.
Cosa che, oltre a destare preoccupazione, raccomanda una sempre maggiore attenzione durante le nostre attività online

La soluzione

Ancora una volta, a parte le solite raccomandazioni per creare password forti, e conservarle correttamente, la soluzione vera e radicale ha un solo nome: formazione di qualità.

Le aziende, per prevenire le mosse dei criminali appostati dietro ogni angolo virtuale, devono scegliere piattaforme formative all’altezza della sfida odierna: rendere le loro organizzazioni immuni dai cyber attacchi e pronte a difendersi sempre adeguatamente.
Un obiettivo che può essere facilmente raggiunto se a ogni dipendente vengono forniti gli strumenti di conoscenza e di addestramento adeguati per riconoscere e gestire ogni tipo di attacco.

Solo questo garantisce una protezione efficace e duratura per tutta l’azienda.

  1. Il RIPE NCC (Network Coordination Center) è uno dei cinque Internet Regional Registry che si occupano di gestire l’assegnazione degli indirizzi IP ai fornitori di servizi Internet, alle organizzazioni di telecomunicazioni e alle aziende che gestiscono la propria infrastruttura di rete. ↩︎

Articoli correlati

Anche lo Sport è sotto attacco cyber

Anche lo Sport è sotto attacco cyber

Le violazioni al Bologna Calcio e allo Stadio San Siro. I pirati del gruppo RansomHub pubblicano su Dark Web alcuni dei documenti sottratti e chiedono al club di Serie A di pagare un riscatto. "Una delle brecce di dati più grandi della storia dello sport italiano”,...

leggi tutto