Gmail e il raggiro del finto supporto tecnico

Il phishing si fa vocale e ti ruba l’identità digitale

L’evoluzione dell’ingegneria sociale: dalle email ai finti operatori Google, il nuovo volto del cybercrime mette a rischio milioni di account Gmail

Un attacco di nuova generazione: phishing vocale e ingegneria sociale

Negli ultimi mesi, un’ondata di attacchi informatici ha preso di mira Gmail, sfruttando una variante del phishing particolarmente subdola: il phishing vocale. L’attacco non si limita più all’invio di email false, ma combina messaggi sofisticati e telefonate da falsi tecnici Google, al fine di convincere l’utente a cedere informazioni critiche per la sicurezza del proprio account.

L’obiettivo finale è ottenere il codice di verifica a due fattori (2FA), cioè quel secondo livello di protezione oggi indispensabile per bloccare accessi non autorizzati.

Come funziona il raggiro: il caso-tipo della truffa

La dinamica è ben congegnata, studiata appositamente per colpire anche gli utenti più esperti. La sequenza si articola in più fasi:

1. Email apparentemente legittima proveniente da un indirizzo che sembra ufficiale (es. noreply@gmail.com o simili), che segnala un problema o un tentativo di accesso sospetto.
2. Telefonata da un finto operatore Google, spesso in italiano fluente, che invita a verificare i dati di recupero dell’account.
3. Richiesta del codice 2FA (ricevuto via SMS o da Google Authenticator) con la scusa di bloccare un attacco o aggiornare la sicurezza dell’account.
4. Accesso immediato all’account Gmail da parte dell’attaccante, che ne prende il controllo modificando password, email di recupero e numero di telefono.

La vittima, credendo di essere stata salvata da un attacco, si accorge troppo tardi di essere stata manipolata con tecniche di ingegneria sociale.

Perché funziona: la fiducia nel brand Google

Uno dei fattori più insidiosi di questo tipo di attacco è la fiducia riposta nel brand Google. L’utente medio è portato a credere che un’email con logo, colori e struttura simile a quella ufficiale sia autentica. Se poi arriva anche una telefonata di “conferma”, l’effetto persuasivo diventa quasi inevitabile.

L’intervento vocale, infatti, riduce drasticamente il tempo di riflessione e aumenta la pressione emotiva. Il truffatore, con tono professionale e sicurezza, spinge l’utente a cedere il codice in tempo reale, facendogli credere che ogni secondo possa essere cruciale per “salvare l’account”.

La posizione ufficiale di Google

Google, interpellata da diversi utenti, ha risposto con fermezza:

“Si tratta di una truffa nota, che colpisce un numero limitato di utenti. Non abbiamo prove che sia un attacco su larga scala, ma abbiamo rafforzato le nostre difese. Google non contatterà mai gli utenti per telefono per richiedere codici di verifica o dati personali.”

Inoltre, tramite il portavoce Ross Richendrfer, Google consiglia l’uso di tecnologie anti-phishing più robuste, come le passkey o le chiavi di sicurezza fisiche, dispositivi hardware che autorizzano l’accesso senza dover digitare codici vulnerabili al social engineering.

Come recuperare un account compromesso

Se l’account è stato violato, c’è una finestra temporale di 7 giorni entro la quale è ancora possibile ripristinarlo, a condizione che:

• siano stati impostati correttamente un numero di telefono e una email di recupero in precedenza;
• l’utente acceda al modulo ufficiale di recupero Google usando quei dati.

In questi 7 giorni, anche se l’hacker ha già modificato le impostazioni, è ancora possibile ripristinare l’accesso tramite i dati di recupero originari.

Percorsi consigliati:

• Android: Impostazioni → Google → [tuo nome] → Gestisci il tuo Account Google → Sicurezza → Come accedi a Google
• iOS: Gmail → immagine account → Gestisci il tuo Account Google → Sicurezza
• Chrome desktop: immagine account → Gestisci il tuo Account Google → Sicurezza

Difese da attivare subito

Per evitare di cadere vittima di questa e altre truffe, ecco le best practice raccomandate:

• Abilitare la verifica in due passaggi, scegliendo preferibilmente metodi resistenti al phishing (es. chiavi fisiche o passkey)
• Mai condividere codici via telefono, anche se il numero sembra ufficiale
• Controllare con attenzione i link e l’indirizzo email del mittente prima di cliccare
• Mantenere aggiornato il browser, sfruttando le ultime funzionalità di protezione come Gemini Nano in Chrome 137

Una minaccia in crescita

Secondo fonti interne, il phishing vocale non è ancora diffuso come le tradizionali email-truffa, ma è in rapido aumento. La combinazione tra realismo grafico e coinvolgimento umano diretto lo rende estremamente efficace, soprattutto per utenti non particolarmente esperti o sotto stress.

Google sta attivamente monitorando la situazione e ha già sospeso numerosi account compromessi coinvolti nell’abuso dei propri servizi.

In sintesi

La truffa del finto supporto tecnico Google è l’ennesima evoluzione dell’ingegneria sociale in ambito digitale. Puntando sulla fiducia e sulla paura, riesce a superare molte delle barriere tradizionali della sicurezza.

La difesa? Sta nell’educazione informatica, nella prevenzione tecnologica e nella consapevolezza che, quando si tratta di sicurezza, l’unico vero esperto del tuo account sei tu.