michele ficara porta a porta bruno vespa sky tg 24

Direttore Editoriale  della testata Assodigitale® è Michele Ficara Manganelli. Assodigitale è una testata editoriale storica del settore Tecnologia & Finanza pubblicata esclusivamente online dal 2004 con oltre 20 anni di vita.

#Assodigitale. – Assodigitale News Magazine Tech & Fintech pubblica (senza periodicità) notizie, guide al consumo ed approfondimenti sul mondo finanziario + tecnologico a 360 gradi con particolare attenzione agli ambiti Startup, AI, Blockchain, Metaverse, Crypto, Svapo e Lifestyle.
Assodigitale® è un marchio registrato worldwide. © COPYRIGHT 2024

Truffa verifica sicurezza sottrae credenziali Google agli utenti

Truffa verifica sicurezza sottrae credenziali Google agli utenti

Nuova campagna di phishing PWA contro il controllo sicurezza Google

Una sofisticata campagna di phishing, individuata dai ricercatori di Malwarebytes, sta colpendo utenti Google in tutto il mondo. Cybercriminali sconosciuti inducono le vittime a visitare un falso sito di controllo sicurezza dell’account Google e a installare una finta PWA che replica l’app ufficiale.
Attraverso questa Progressive Web App vengono sottratti in modo invisibile credenziali di accesso, codici di autenticazione multi‑fattore, dati di geolocalizzazione, contatti e persino indirizzi di wallet crypto.
L’operazione, attiva in queste settimane, sfrutta notifiche push e un canale remoto di comunicazione per mantenere il controllo anche dopo la chiusura del browser, con l’obiettivo di aggirare i controlli di sicurezza e svuotare account digitali e bancari.

In sintesi:

  • Falso controllo sicurezza Google induce a installare una PWA malevola molto realistica
  • Rubate credenziali, codici MFA, indirizzi di wallet crypto e dati di geolocalizzazione
  • WebSocket relay aggira controlli basati su indirizzo IP del dispositivo della vittima
  • APK Android chiede 33 permessi e prende il controllo quasi totale dello smartphone

Come funziona il falso controllo sicurezza Google e perché è così insidioso

La campagna inizia con email o messaggi che sembrano provenire da Google, con invito urgente a eseguire il “Security Checkup”.
Il link porta a una pagina clone del controllo sicurezza dell’account Google, dove il primo passaggio è l’installazione di una finta PWA. La barra degli indirizzi viene nascosta, aumentando la credibilità dell’interfaccia.
Il passo successivo è l’attivazione degli “avvisi di sicurezza”: in realtà, il consenso alle notifiche apre un vero e proprio canale di comunicazione con i server dei criminali, consentendo accesso remoto e persistenza dell’attacco.

La procedura guidata chiede poi di “proteggere i contatti” e “verificare la posizione”. Contatti e dati GPS vengono immediatamente inviati ai server malevoli.
Una volta attiva, la PWA raccoglie credenziali, codici MFA, contenuto della clipboard (inclusi indirizzi di wallet di criptovalute) e altre informazioni sensibili, continuando il furto dati anche se la scheda del browser viene chiusa.
Un modulo WebSocket relay consente ai criminali di instradare richieste web come se fossero originate dalla rete della vittima, aggirando controlli basati su indirizzo IP e aumentando le probabilità di successo nel furto di account e fondi.

Al termine degli step, l’utente riceve un ulteriore falso “aggiornamento di sicurezza”: un file APK Android che richiede 33 permessi, tra cui accesso a SMS, microfono, cronologia chiamate e contatti.
Una volta installato, il malware assume un controllo quasi totale dello smartphone, consentendo la sottrazione di codici OTP, credenziali bancarie e dati personali critici.
Gli utenti devono installare aggiornamenti solo da Google Play Store e utilizzare esclusivamente la pagina ufficiale del controllo sicurezza di Google.

Implicazioni future e come rafforzare la propria difesa digitale

Questa campagna segna un’evoluzione pericolosa del phishing: combinazione di PWA, notifiche push e APK Android consente un attacco “all‑in‑one” contro identità digitale e finanza personale.
È verosimile che varianti simili sfruttino in futuro brand diversi da Google, mantenendo la stessa logica di attacco multi‑livello.
Per ridurre il rischio è essenziale verificare sempre l’URL, diffidare di presunte urgenze di sicurezza ricevute via email o messaggistica, limitare i permessi concessi alle app e attivare solo autenticazione a più fattori basata su app ufficiali, evitando link intermedi.
Un controllo periodico dei dispositivi e delle sessioni attive negli account resta oggi uno degli strumenti più efficaci di prevenzione.

FAQ

Come riconoscere il falso controllo sicurezza Google

È possibile riconoscerlo verificando sempre l’URL: il vero controllo sicurezza usa dominio google.com con connessione HTTPS e nessuna richiesta di installare PWA o APK esterni.

Cosa fare se ho già installato la PWA malevola

È necessario rimuoverla subito, cambiare tutte le password da altro dispositivo sicuro, revocare sessioni attive e controllare movimenti bancari e crypto wallet.

Come proteggere l’account Google da campagne di phishing simili

È consigliabile attivare l’autenticazione a due fattori via app ufficiale, monitorare l’attività dell’account, evitare link nelle email e usare un password manager affidabile.

L’APK Android può aggirare gli antivirus sullo smartphone

Sì, può farlo sfruttando tecniche di offuscamento e permessi estesi; è quindi essenziale installare app solo da Google Play Store ufficiale.

Quali sono le fonti utilizzate per questa analisi di sicurezza

L’articolo è stato redatto elaborando congiuntamente informazioni provenienti da Ansa.it, Adnkronos.it, Asca.it e Agi.it, rielaborate dalla nostra Redazione.

Michele Ficara Manganelli ✿∴♛🌿🇨🇭 Avatar

Michele Ficara Manganelli ✿∴♛🌿🇨🇭

Direttore Editoriale Assodigitale.it Phd, MBA, CPA

Storico esperto di Digital Journalism e creatore di Immediapress la prima Digital Forwarding Agency italiana poi ceduta al Gruppo ADNkronos, evangelista di Internet dai tempi di Mozilla e poi antesignano (ora pentito) dei social media in italia, Bitcoiner Evangelist, portatore sano di Ethereum e Miner di crypto da tempi non sospetti. Sono a dir poco un entusiasta della vita, e già questo non è poco. Intimamente illuminato dalla Cultura Life-Hacking, nonchè per sempre ed indissolubilmente Geek, giocosamente Runner e olisticamente golfista. #senzatimore è da decenni il mio hashtag e significa il coraggio di affrontare l'ignoto. Senza Timore. Appunto

Areas of Expertise: Digital Marketing, SEO, Content Strategy, Crypto, Blockchain, Fintech, Finance, Web3, Metaverse, Digital Content, Journalism, Branded Content, Digital Transformation, AI Strategy, Digital Publishing, DeFi, Tokenomics, Growth Hacking, Online Reputation Management, Emerging Tech Trends, Business Development, Media Relations, Editorial Management.
michele@ficara.org
LinkedIn Instagram YouTube Telegram
Fact Checked & Editorial Guidelines

Our Fact Checking Process

We prioritize accuracy and integrity in our content. Here's how we maintain high standards:

  1. Expert Review: All articles are reviewed by subject matter experts.
  2. Source Validation: Information is backed by credible, up-to-date sources.
  3. Transparency: We clearly cite references and disclose potential conflicts.
Reviewed by: Subject Matter Experts

Our Review Board

Our content is carefully reviewed by experienced professionals to ensure accuracy and relevance.

  • Qualified Experts: Each article is assessed by specialists with field-specific knowledge.
  • Up-to-date Insights: We incorporate the latest research, trends, and standards.
  • Commitment to Quality: Reviewers ensure clarity, correctness, and completeness.

Look for the expert-reviewed label to read content you can trust.

DIRETTORE EDITORIALE

PUBBLICITA’ – COMUNICATI STAMPA – PROVE PRODOTTI

Per acquistare pubblicità CLICCA QUI

Per inviarci comunicati stampa e per proporci prodotti da testare prodotti CLICCA QUI

#ASSODIGITALE.

PUBBLICITA’ COMUNICATI STAMPA

Per acquistare pubblicità potete richiedere una offerta personalizzata scrivendo al reparto pubblicitario.

Per pubblicare un comunicato stampa potete richiedere una offerta commerciale scrivendo alla redazione.

Per inviarci prodotti per una recensione giornalistica potete scrivere QUI

Per informazioni & contatti generali potete scrivere alla segreteria.

Tutti i contenuti pubblicati all’interno del sito #ASSODIGITALE. “Copyright 2024” non sono duplicabili e/o riproducibili in nessuna forma, ma possono essere citati inserendo un link diretto e previa comunicazione via mail.

AFFILIATION + AI IMAGE & TEXT

I contenuti pubblicati su Assodigitale.it possono contenere link di affiliazione al Programma Amazon EU.
In qualità di affiliato Amazon, il sito percepisce una commissione sugli acquisti idonei effettuati tramite i link presenti nelle pagine, senza alcun costo aggiuntivo per l’utente.
Alcune immagini e testi presenti su questo sito web sono generate tramite sistemi di intelligenza artificiale (IA) e hanno finalità esclusivamente illustrative.
Tali immagini non rappresentano persone reali, né vanno intese come fotografie autentiche dei soggetti.
Per chiarimenti, segnalazioni o istanze formali è possibile contattare la redazione.

FONTE UFFICIALE GOOGLE NEWS

#ASSODIGITALE. da oltre 20 anni rappresenta una affidabile fonte giornalistica accreditata e certificata da Google News per la qualità dei suoi contenuti.

#ASSODIGITALE. è una testata editoriale storica che dal 2004 ha la missione di raccontare come la tecnologia può essere utile per migliorare la vita quotidiana approfondendo le tematiche relative a: TECH & FINTECH + AI + CRYPTO + BLOCKCHAIN + METAVERSE & LIFESTYLE + IOT + AUTOMOTIVE + EV + SMART CITIES + GAMING + STARTUP.

 

Indice dei Contenuti:

INDICE CONTENUTI
Powered by atecplugins.com