Una nuova campagna di phishing sfrutta le notifiche legittime di Google Tasks per aggirare i filtri di sicurezza e spingere i dipendenti a cedere credenziali sensibili.
Autore: Redazione SecurityOpenLab
Una nuova campagna di phishing sfrutta le notifiche legittime di Google Tasks per sottrarre credenziali aziendali, aggirando gran parte dei filtri di sicurezza e facendo leva sulla fiducia verso il dominio google.com. Il caso è riportato in un report di Kaspersky che mostra come l’abuso di servizi cloud affidabili stia diventando una delle vie preferenziali per colpire gli ambienti corporate.
Il meccanismo alla base dell’attacco è semplice quanto efficace: la vittima riceve una notifica via email da un indirizzo @google.com che lo informa di avere un nuovo task, in apparenza assegnato tramite lo strumento aziendale di gestione delle attività. Nella notifica compaiono anche segnali di urgenza quali l’alta priorità e la scadenza ravvicinata, che hanno l’obiettivo di spingere il destinatario a cliccare rapidamente sul link senza prendersi il tempo di verificare la legittimità della comunicazione.
Cliccando sul link, l’utente viene reindirizzato a un modulo che imita una procedura interna studiata per sembrare parte di un processo HR o IT consolidato. In questa pagina è richiesto l’inserimento delle credenziali aziendali, presentato come passaggio necessario per confermare lo status di dipendente o per evitare la sospensione dell’account. I dati inseriti vengono inviati all’infrastruttura controllata dagli attaccanti, che possono usarli per accedere ai servizi aziendali, fare movimenti laterali nella rete, sottrarre informazioni sensibili o preparare ulteriori attacchi mirati, inclusi ransomware.
Di fatto, l’email appare perfettamente pulita dal punto di vista infrastrutturale e il vero problema si annida nel contenuto e nel contesto d’uso, che i filtri tradizionali faticano a valutare con precisione. Secondo gli esperti di Kaspersky, questo schema si inserisce in una tendenza più ampia, già osservata negli ultimi anni e destinata a intensificarsi nel 2026, che vede i cyber criminali sfruttare servizi legittimi come veicolo per le truffe. Il vantaggio per gli attaccanti è duplice: da un lato l’aggiramento dei controlli automatici grazie alla reputazione dei domini utilizzati, dall’altro l’effetto psicologico su utenti che riconoscono marchi familiari e sono portati ad abbassare la guardia.
Per i team di sicurezza, questa evoluzione conferma che non è sufficiente concentrarsi sulla ricerca di indicatori di compromissione classici nelle intestazioni delle email o sui soli parametri tecnici legati ai protocolli di autenticazione. La difesa deve estendersi alla capacità di riconoscere flussi anomali, contenuti incoerenti con le procedure interne e pattern comportamentali sospetti. In questo scenario, soluzioni di email security che combinano analisi comportamentale, machine learning e motori antiphishing specifici diventano un tassello essenziale per filtrare messaggi che, altrimenti, passerebbero indisturbati.
Il report richiama anche la centralità del fattore umano: l’intero attacco si regge sulla reazione istintiva alla pressione temporale e sull’automatismo con cui molti utenti cliccano su link o pulsanti che sembrano collegati a task aziendali legittimi. Per ridurre il rischio, Kaspersky raccomanda di trattare con sospetto gli inviti non richiesti provenienti da qualunque piattaforma, anche se associata a brand molto noti, e di verificare sempre con attenzione gli URL prima di aprirli, privilegiando la navigazione diretta sui portali ufficiali quando si tratta di procedure sensibili. Nel caso di comunicazioni dubbie, è preferibile non utilizzare i numeri di telefono o i link presenti nel messaggio, ma cercare i contatti di supporto attraverso i canali ufficiali del servizio o fare riferimento ai punti di contatto interni indicati nelle policy dell’organizzazione.
Un’altra buona pratica riguarda la gestione delle autenticazioni: l’attivazione della multi-factor authentication su tutti gli account riduce l’impatto della compromissione delle credenziali di primo livello, perché richiede agli attaccanti di superare anche un secondo fattore di verifica prima di accedere alle risorse aziendali. In parallelo, la formazione continua del personale sui nuovi schemi di phishing aiuta a sviluppare un atteggiamento critico verso le richieste inattese che arrivano in casella di posta, anche quando si presentano come innocue notifiche di piattaforme note.