2649 Letture
Attenzione al phishing via Gmail: scoperto un bug nell'interfaccia

Attenzione al phishing via Gmail: scoperto un bug nell'interfaccia

Il ricercatore che appena qualche giorno fa aveva messo a nudo alcune anomalie in Gmail torna alla carica e scopre quello che pare a tutti gli effetti un bug nell'interfaccia del servizio Google.

Nei giorni scorsi vi avevamo parlato della scoperta di alcune "leggerezze" in Google Gmail, "tattiche" che potrebbero consentire a un malintenzionato di far apparire email mai inviate da altre persone sia nella posta inviata che nella cartella contenente la posta in arrivo: Attenzione ai messaggi ricevuti su Gmail: potrebbero non pervenire dai mittenti indicati.

Lo sviluppatore che aveva segnalato le precedenti anomalie, Tim Cotten, è tornato a farsi sentire segnalando quello che sembra un bug dell'interfaccia web di Gmail.
Uno spammer, un criminale informatico o comunque un utente malintenzionato possono infatti inviare messaggi truffaldini verso qualunque account Gmail semplicemente impostando un campo From: ("Da:") malformato.

Attenzione al phishing via Gmail: scoperto un bug nell'interfaccia

Anziché specificare un normale account email come mittente, il malintenzionato può abbinare del codice HTML (tag <img>, <object> oppure <script>): l'interfaccia web di Gmail, non riuscendo a interpretare correttamente il codice, non mostrerà alcun mittente lasciando il campo "Da:" del tutto vuoto.

Il nome del mittente non comparirà né nella posta in arrivo di Gmail né all'interno del messaggio, una volta aperto, né provando a rispondere né cliccando su Mostra originale. Il "trucchetto" sarà riconoscibile solo esaminando il sorgente grezzo (RAW) sempre all'interno della schermata Mostra originale di Gmail.


Attenzione al phishing via Gmail: scoperto un bug nell'interfaccia

Come osserva Cotten nella sua analisi, fintanto che Google non risolverà il problema, la possibilità di nascondere completamente il mittente di un messaggio potrebbe essere sfruttato per porre in essere attacchi phishing piuttosto efficaci.

Attenzione al phishing via Gmail: scoperto un bug nell'interfaccia