Un gruppo di scammer ha sfruttato una vulnerabilità di Gmail per una frode

Un gruppo di scammer ha sfruttato una vulnerabilità di Gmail per una frode
INFORMAZIONI SCHEDA
di

Gmail non distingue i punti all'interno degli indirizzi, così a.rossi@gmail.com e arossi@gmail.com o aros.si@gmail.com vengono letti alla stessa maniera. La feature è stata sfruttata da alcuni scammer per frodare banche, fisco e welfare americano.

Infatti, sebbene Gmail metta tutto nello stesso calderone, i siti non si comportano in questo modo, considerando indirizzi che presentino punti in posizioni diverse come email distinte tra loro. L'exploit spesso viene usato per creare più account prova su piattaforme come Netflix usando un solo indirizzo email.

Ma gli scammer sono riusciti a sfruttare questa peculiarità di Gmail per imbastire truffe ben più sofisticate. C'è chi, ad esempio, è riuscito a persuadere i proprietari di un account Netflix legittimo ad inserire i loro dettagli di pagamento all'interno di un account "copia", ma con l'indirizzo email che presentava un punto in un posto diverso. Come? Poniamo che voi abbiate creato un account Netflix usando l'indirizzo andrea.rossi@gmail.com, un bel giorno ricevete una mail dall'azienda che vi dice di aggiornare il vostro metodo di pagamento, vi sembra una mail normalissima, e il link porta proprio a Netflix. Ma facendo un po' di attenzione in più, scoprite che la mail a cui è associato l'account su cui state caricando la vostra carta di credito è andr.ea.rossi@gmail.com. Per Netflix due indirizzi differenti, per Gmail la stessa identica cosa, così le email dell'account dello scammer ve le beccate comunque voi.

Rielaborando questa tecnica, un gruppo di scammer sarebbe riuscito a

  • Frodare con successo per 48 volte diversi istituti di credito americani, riuscendo ad attivare carte di credito con cui avrebbero accumulato spese per minimo 65.000$
  • Registrare 14 account prova per servizi di commercial sales con la finalità di raccogliere dati per lanciare truffe BEC
  • Compilare 13 dichiarazioni dei redditi fittizie
  • Inviare 12 richieste di cambio residenza al servizio postale USA
  • Inviare 11 richieste fraudolenti per ricevere benefit dalla Social Security americana
  • fare richiesta dell'assegno di disoccupazione usando 9 identità rubate
  • fare richiesta per l'indennità FEMA disaster usando tre identità rubate

I dati di questa colossale truffa arrivano dallo studio di ricercatori Agari.

FONTE: zdnet.com
Quanto è interessante?
1