Una sofisticada campanya de suplantació d’identitat (pesca) està afectant els usuaris de Gmail, que reben correus que aparenten ser comunicacions legítimes enviades des del mateix domini de Google. L’engany, que ha estat denunciat per un desenvolupador afectat, fa servir recursos de l’entorn de l’empresa perquè sembli completament autèntic. El correu maliciós adverteix d’una suposada citació judicial que sol·licita accés a les dades personals de l’usuari, cosa que genera una resposta immediata per part dels qui el reben. El missatge arriba signat correctament i prové d’una adreça oficial: [email protected].
El desenvolupador Nick Johnson va ser qui va alertar públicament sobre aquesta amenaça a través del seu compte a la xarxa social X: «Recentment vaig ser objectiu d’un atac de phishing extremadament sofisticat i vull exposar-ho aquí. Explota una vulnerabilitat a la infraestructura de Google i, atès que es neguen a corregir-la, és probable que vegem més casos.»
D’aquesta manera aconsegueix que sembli un missatge real
El principal risc rau que el correu no només supera els controls de seguretat del sistema, sinó que a més s’integra al mateix fil d’altres notificacions oficials de seguretat, cosa que en dificulta la detecció per part de l’usuari mitjà. La diferència clau és al domini al qual redirigeix l’enllaç inclòs. Mentre les comunicacions legítimes de l’empresa porten l’usuari a accounts.google.com, el frau l’envia a sites.google.com, cosa que constitueix un senyal inequívoc que es tracta d’un intent de suplantació d’identitat.
Un cop dins, el destinatari es troba amb una rèplica visual del portal d’assistència de Google, dissenyada per obtenir dades delicades com a nom d’usuari, contrasenya, número de la seguretat social o informació bancària.
Google reconeix el problema i llança recomanacions
Un portaveu de Google ha confirmat que tenen constància d’aquest tipus d’atacs i que han implementat mesures per limitar-ne l’abast. I a més indica «Recomanem activar l’autenticació en dos passos i l’ús de claus d’accés, que ofereixen una protecció més robusta davant de campanyes de suplantació.»
Tot i això, i malgrat aquestes mesures, l’amenaça persisteix, ja que els atacants aprofiten una estructura legítima del sistema per donar versemblança al frau. La solució, ara com ara, passa per la prevenció i el coneixement de l’usuari.
Com protegir el teu compte sense caure al parany
Els especialistes en ciberseguretat aconsellen evitar fer clic en enllaços que arribin per correu, fins i tot si semblen legítims. La millor pràctica és accedir directament al servei des del navegador i mai des del missatge. A més, es recomana fer servir claus d’accés en comptes de contrasenyes, ja que aquelles emmagatzemen una clau xifrada al dispositiu i no poden ser robades amb facilitat.
També és important ignorar qualsevol comunicació que sol·liciti informació personal urgent o que provingui suposadament d’entitats públiques, llevat que es pugui verificar per vies oficials. Aquest tipus d’atacs, en aprofitar recursos reals, posa a prova fins i tot els usuaris més previnguts.
