Attenzione al phishing via Gmail: scoperto un bug nell'interfaccia

Nei giorni scorsi vi avevamo parlato della scoperta di alcune “leggerezze” in Google Gmail, “tattiche” che potrebbero consentire a un malintenzionato di far apparire email mai inviate da altre persone sia nella posta inviata che nella cartella contenente la posta in arrivo: Attenzione ai messaggi ricevuti su Gmail: potrebbero non pervenire dai mittenti indicati.

Lo sviluppatore che aveva segnalato le precedenti anomalie, Tim Cotten, è tornato a farsi sentire segnalando quello che sembra un bug dell’interfaccia web di Gmail.
Uno spammer, un criminale informatico o comunque un utente malintenzionato possono infatti inviare messaggi truffaldini verso qualunque account Gmail semplicemente impostando un campo From: (“Da:”) malformato.

Anziché specificare un normale account email come mittente, il malintenzionato può abbinare del codice HTML (tag <img>, <object> oppure <script>): l’interfaccia web di Gmail, non riuscendo a interpretare correttamente il codice, non mostrerà alcun mittente lasciando il campo “Da:” del tutto vuoto.

Il nome del mittente non comparirà né nella posta in arrivo di Gmail né all’interno del messaggio, una volta aperto, né provando a rispondere né cliccando su Mostra originale. Il “trucchetto” sarà riconoscibile solo esaminando il sorgente grezzo (RAW) sempre all’interno della schermata Mostra originale di Gmail.

Come osserva Cotten nella sua analisi, fintanto che Google non risolverà il problema, la possibilità di nascondere completamente il mittente di un messaggio potrebbe essere sfruttato per porre in essere attacchi phishing piuttosto efficaci.