I cybercriminali russi del gruppo UNC6293, finanziati dal Cremlino, hanno utilizzato un nuovo tipo di phishing per accedere agli account Gmail di accademici che criticano l’operato del governo. Sfruttando l’ingegneria sociale riescono ad ottenere le App-Specific Password (ASP) e aggirare l’autenticazione multi-fattore (MFA) di Gmail.
Tecnica molto sofisticata
Il Google Threat Intelligence Group e The Citizen Lab hanno descritto in dettaglio la tecnica utilizzata dai cybercriminali per colpire un noto ricercatore inglese. L’attacco inizia con l’invio di un’email di phishing.
Il mittente è Claudie S. Weber del Dipartimento di Stato degli Stati Uniti. In realtà, il nome e l’indirizzo email sono fasulli. Dopo uno scambio di messaggi, i cybercriminali hanno chiesto di partecipare ad un meeting e quindi di accedere alla presunta piattaforma del Dipartimento di Stato. È necessario seguire le istruzioni presenti in un file PDF per creare una App-Specific Password (ASP) su un account Google.
Le ASP sono passcode lunghi 16 caratteri che permettono ad un’app di terze parti di accedere ad un account Google anche se l’app non supporta l’autenticazione multi-fattore. Il codice deve essere inviato al mittente dell’email per consentire alla vittima di accedere alla piattaforma del Dipartimento di Stato.
Il codice viene invece utilizzato dai cybercriminali per accedere all’account Google della vittima tramite server VPS e proxy residenziali per nascondere l’indirizzo IP. Google ha rilevato l’attacco e disattivato l’email dei cybercriminali. Il ricercatore inglese è riuscito a riprendere il controllo del suo account.
L’autenticazione multi-fattore è tuttavia una delle migliori protezioni. Gli utenti che possono essere bersaglio di questi attacchi dovrebbero iscriversi al programma Advanced Protection che non permette di creare una App-Specific Password e di effettuare il login senza passkey.
Ti potrebbe interessare
23 giu 2025