background home-white background home black

È successo al nostro CEO. Poteva succedere a chiunque.Come scegliere il giusto partner IT

Qualche giorno fa il nostro CEO, Dario Pizzato, ha ricevuto un’email da Gmail. Non una mail sospetta finita per sbaglio nello spam, non un dominio che sembrava giusto ma non lo era. Una notifica “vera”, generata dai server di Google, firmata Google, autenticata da Google.

Dietro a tutto questo, un tentativo di furto delle sue credenziali.

Ha deciso di raccontarlo pubblicamente, con tutti i dettagli tecnici. Noi abbiamo deciso di pubblicare la sua storia perché il punto non è “guardate cosa è successo al capo”: il punto è che questa cosa può succedere a chiunque abbia una casella Gmail, indipendentemente da quanto sia attento o esperto.

Cos’ha ricevuto

Dario ha controllato gli header dell’email, cosa che pochissimi utenti fanno mai. E i risultati erano impeccabili:

  • SPF: pass → inviata da infrastruttura Google reale
  • DKIM: pass → firmata digitalmente da google.com
  • MARC: pass → con la policy più restrittiva possibile

In altre parole: ogni singolo controllo tecnico che email, filtri antispam e sistemi di sicurezza aziendale usano per distinguere una mail vera da una falsa, diceva che quella fosse “vera”. Perché lo era. Google l’aveva effettivamente generata e inviata.

Il problema non è dove è nata l’email. È cosa ci è stato messo dentro prima che partisse.

Il trucco: usare Google contro se stesso

Senza entrare nei dettagli tecnici che potrebbero servire a replicare l’attacco, il meccanismo di fondo è questo:

Google offre funzioni legittime, come la possibilità di delegare l’accesso a una casella Gmail che generano automaticamente notifiche ufficiali all’utente. Un attaccante può innescare questo flusso e, prima di farlo, scrivere il proprio testo di phishing in un campo del proprio account (ad esempio il nome) che verrà “riportato senza modifiche” dentro la notifica ufficiale che Google invia alla vittima.

Il risultato è un’email autentica al 100% dal punto di vista tecnico, ma con un contenuto scritto interamente dall’attaccante: un messaggio allarmistico che spinge a cliccare un link. I testi vengono “allungati” con caratteri invisibili per nascondere il resto del messaggio originale e mostrare in anteprima solo la parte fabbricata.

Il link, a sua volta, sfrutta un reindirizzamento presente su una pagina legittima di Google per portare la vittima, passo dopo passo, su una pagina di raccolta credenziali che sembra identica a un vero accesso Google, ma ovviamente non lo è.

Nessuna finzione nel percorso. Ogni singolo passaggio tecnico è reale, tranne la destinazione finale.

Perché questo dovrebbe preoccuparci tutti

Non è un caso isolato o una trovata estemporanea. Varianti di questa tecnica, spesso chiamata “trusted-platform phishing”, cioè phishing che abusa di piattaforme fidate invece di falsificarle, sono state documentate ripetutamente nel corso del 2025: prima ai danni di sviluppatori nel settore crypto, poi su campagne più ampie che hanno colpito migliaia di aziende sfruttando altri servizi Google (Cloud, Forms, Tasks) con lo stesso identico principio.

Il messaggio di fondo è sempre lo stesso: i controlli su cui basiamo la fiducia digitale come autenticazione del mittente, firma crittografica e reputazione del dominio, verificano che il canale sia genuino, non che il contenuto lo sia. Un attaccante che trova un modo per far scrivere le proprie parole a un sistema fidato ottiene un lasciapassare che nessun filtro tecnico è progettato per fermare.

E questo significa una cosa scomoda ma importante: avere i migliori EDR, XDR, filtri antispam di ultima generazione non basta. Questi strumenti guardano soprattutto ai metadati e cioè mittente, firma, reputazione e non necessariamente al significato di ciò che è scritto nel corpo del messaggio.

Cosa possiamo fare, davvero

Non esiste un filtro magico contro questo tipo di attacco. Esiste però un cambio di abitudine:

  • Diffidare dell’urgenza, sempre, anche quando il mittente è verificato al 100%. Le comunicazioni ufficiali di sicurezza raramente richiedono un’azione immediata tramite link.
  • Non cliccare mai link dentro notifiche di sicurezza. Aprire una nuova scheda e andare direttamente al sito ufficiale (es. myaccount.google.com digitato a mano) per controllare lo stato dell’account.
  • Attivare l’autenticazione a due fattori e, se possibile, le passkey. Non fermano ogni attacco, ma alzano di molto l’asticella: rubare una password da sola non basta più.
  • Parlarne apertamente in azienda. Il CEO che condivide di essere stato bersaglio di un attacco sofisticato non è un segnale di debolezza: è la difesa migliore che esista, perché normalizza il fatto che chiunque può essere un obiettivo, e allena tutti a riconoscere i segnali.

La verità scomoda è che la tecnologia da sola verifica il canale, non le intenzioni di chi lo attraversa. L’ultima linea di difesa resta, come sempre, l’attenzione umana — non perché la tecnologia non serva, ma perché nessuna tecnologia può sostituirla del tutto.

Se lavori in un’azienda e vuoi capire come rafforzare la consapevolezza del tuo team su questo tipo di minacce, parliamone.