Symantec ha emesso un avvertimento su quella che sembra essere una truffa di successo perpetrata contro gli utenti di servizi di webmail come Gmail, Outlook e Yahoo.

La truffa è spiegata nel seguente breve video realizzato da Symantec.

(dico che è un breve video, ed è un breve video a soli 2 minuti e 17 secondi., Ma chiaramente Symantec sente di avere la capacità di attenzione di un pesce rosso, quindi hanno aggiunto un ritmo funky in background per impedirti di sonnecchiare).

Per coloro che non sopportano la musica di sottofondo, ecco una spiegazione di come si può rubare un account di posta elettronica, solo conoscendo il numero di cellulare della vittima.

Nell’esempio seguente immaginiamo che un utente malintenzionato stia tentando di hackerare un account Gmail appartenente a una vittima chiamata Alice.,

Alice registra il suo numero di cellulare con Gmail in modo che se mai dimentica la sua password Google le invierà un messaggio di testo SMS contenente un codice di verifica di salvataggio in modo che possa accedere al suo account.

Un cattivo ragazzo – chiamiamolo Malcolm – è desideroso di entrare nell’account di Alice, ma non conosce la sua password. Tuttavia, conosce l’indirizzo email e il numero di telefono di Alice.

Quindi, visita la pagina di accesso di Gmail e inserisce l’indirizzo email di Alice. Ma Malcolm non può inserire correttamente la password di Alice, ovviamente (perché non lo sa).,

Quindi invece fa clic su ” Hai bisogno di aiuto?”link, normalmente utilizzato da utenti legittimi che hanno dimenticato le loro password.

Invece di scegliere una delle altre opzioni, Malcolm seleziona “Ottieni un codice di verifica sul mio telefono: ” per inviare un messaggio SMS contenente un codice di sicurezza a sei cifre al cellulare di Alice.

Questo dove le cose si fanno subdolo.

Perché a questo punto, Malcolm invia ad Alice un testo fingendo di essere Google e dicendo qualcosa come:

“Google ha rilevato attività insolite sul tuo account., Si prega di rispondere con il codice inviato al dispositivo mobile per interrompere l’attività non autorizzata.”

Alice, ritenendo che il messaggio sia legittimo, risponde con il codice di verifica che le è stato appena inviato da Google.

Malcolm può quindi utilizzare il codice per impostare una password temporanea e ottenere il controllo sull’account di posta elettronica di Alice.,

Se Malcolm era ansioso di non destare sospetto, e continuare a vedere ogni e-mail che Alice riceve per il prossimo futuro, quindi può essere che sarà lui a riconfigurare la sua e-mail per inoltrare automaticamente i messaggi futuri di un account sotto il suo controllo, e quindi inviare un SMS al suo contenente la nuova password di reset:

“Grazie per la verifica del tuo account Google., La tua password temporanea è ”

Anche se Alice cambia la sua password in un secondo momento, Malcolm continuerà a ricevere la sua corrispondenza e-mail privata a meno che non guardi attentamente le impostazioni del suo account.

In breve – è un brutto pezzo di ingegneria sociale che è facile immaginare di lavorare contro molte persone.

Quindi, qual è la soluzione?

Bene, il consiglio più semplice è quello di essere sospettosi dei messaggi SMS che ti chiedono di inviare un codice di verifica, in particolare se non hai richiesto un codice di verifica in primo luogo.,

Tuttavia, mi chiedo quante persone di fronte a un messaggio che credono di essere di Google o Yahoo agirebbero immediatamente, con poco pensiero delle conseguenze. Dopo tutto, una delle più grandi preoccupazioni che molte persone potrebbero avere in questo giorno ed età è quello di essere tagliato fuori dal loro account di posta elettronica.

Per maggiori dettagli, controlla il post del blog di Symantec Slawomir Grzonkowski.

E per consigli su come proteggere meglio il tuo account di posta elettronica web, assicurati di ascoltare questo episodio del podcast “Smashing Security”:

Hai trovato questo articolo interessante?, Segui Graham Cluley su Twitter per saperne di più dei contenuti esclusivi che pubblichiamo.