Gli utenti di Gmail sono al centro di un nuovo allarme sicurezza a causa di una sofisticata truffa che riesce a bypassare l’autenticazione a due fattori (2FA). Questo schema fraudolento, segnalato inizialmente su Reddit e confermato da Google, sfrutta telefonate in cui i cybercriminali si spacciano per operatori del supporto tecnico Google. L’obiettivo? Convincere le vittime a condividere i codici di verifica inviati via email o SMS.

Come funziona la truffa contro la 2FA di Gmail

Il modus operandi dei truffatori è semplice ma efficace: fingendosi tecnici, i truffatori affermano che è stato richiesto un cambio dell’account di ripristino dell’indirizzo email e, per questo, devono verificare i dati del titolare dell’indirizzo in questione.

In tutte le caselle email di Google, infatti, è possibile indicare un account di ripristino al quale ricevere i codici di verifica in caso di problemi. Nel caso in cui un account sia già stato compromesso, Google offre una procedura automatizzata di recupero dell’account Gmail. Questo sistema consente di utilizzare i dati originariamente associati all’account entro sette giorni dalla violazione.

È quindi utilissimo configurare in anticipo un’email alternativa e un numero telefonico di recupero nelle impostazioni di sicurezza del proprio account, ma con questa scusa, allo stesso tempo, i truffatori possono ottenere i codici di verifica e, così, l’accesso completo agli account delle vittime.

Come proteggersi dalla truffa della 2FA di Gmail

È fondamentale sottolineare che Google non richiede mai direttamente codici di verifica agli utenti, come ribadito dall’azienda stessa: “Si tratta di un fenomeno limitato, ma invitiamo tutti alla massima attenzione”. Al momento, inoltre, non risultano casi di truffe di questo tipo al di fuori degli Stati Uniti.

Per proteggersi da queste truffe 2FA, gli esperti di sicurezza consigliano di adottare sistemi di autenticazione avanzati come chiavi di sicurezza fisiche o passkey. Questi strumenti sono progettati per resistere agli attacchi di phishing e rappresentano una soluzione particolarmente efficace contro minacce di questo tipo. L’implementazione di una passkey, ad esempio, può creare una barriera robusta e sicura.

Per gli utenti Android, è possibile aggiornare queste informazioni accedendo alle impostazioni del dispositivo, selezionando “Google”, il proprio nome e infine “Gestisci il tuo account Google”. Qui, nella sezione sicurezza, si trovano tutte le opzioni di recupero.

La sicurezza digitale, tuttavia, è una responsabilità condivisa e non fidarsi mai di chi ci chiede dati sensibili è il primo passo per evitare di cadere vittima di truffe online come questa.