La truffa invisibile spaventa tutti gli utenti di Gmail, ma in cosa consiste? Cerchiamo di capire cosa sta succedendo e quali sono i rischi reali.
Usiamo l’email per tutto: lavoro, bollette, notifiche di servizi, comunicazioni personali. Proprio per questa centralità, le truffe diventano ogni giorno più raffinate e difficili da riconoscere. Oggi non bastano più filtri antispam e buon senso: i criminali sfruttano linguaggi impeccabili, marchi noti e perfino strumenti di Intelligenza Artificiale per guadagnarsi la nostra fiducia.
Secondo segnalazioni recenti (tra cui quelle dell’Associazione Finlandese di Telemarketing), circola una truffa che gioca proprio sull’integrazione dell’IA in Gmail.
L’utente riceve un’email apparentemente innocua. Nel messaggio è presente contenuto “invisibile” (testo bianco o codice) che punta a far credere all’utente di ricevere un avviso autorevole generato dall’IA. L’avviso sostiene che la password di Google sia stata compromessa e propone di chiamare un numero “assistenza”. Il numero porta ai truffatori: tentano di ottenere credenziali, guidano verso siti fasulli e, spesso, la chiamata è a pagamento.
Google chiarisce la problematica e spiega come proteggersi dalla tentata truffa
Google ha chiarito che non c’è stata alcuna violazione globale dei server Gmail o Google Cloud collegata a questo schema. I recenti problemi di sicurezza menzionati in relazione ad altri fornitori (es. Salesforce) non hanno compromesso i dati degli utenti Google. Resta però una minaccia concreta di ingegneria sociale: l’obiettivo è ingannare l’utente, non “bucare” Gmail.
Presenza di un numero di telefono da chiamare “subito” per la sicurezza dell’account. Tono d’urgenza: “password compromessa”, “account bloccato”, “azione immediata”. Mittente sospetto o camuffato (nome familiare ma dominio insolito). Link che non puntano a domini Google ufficiali (google.com, accounts.google.com). Richiesta di condividere codici di verifica o password.
Non chiamare il numero indicato nell’email. Non cliccare link né scaricare allegati. Verifica lo stato del tuo account solo da fonti ufficiali: digita manualmente myaccount.google.com nel browser. Vai a “Sicurezza” e apri “Controllo sicurezza” e “Attività di sicurezza recenti”. Cambia la password se hai il minimo dubbio e abilita la Verifica in due passaggi. Segnala l’email: in Gmail, menu a tre puntini sul messaggio > Segnala phishing.
Abilita Verifica in due passaggi o, meglio, le passkey per l’account Google. Usa un gestore di password e mantieni password uniche e lunghe. Diffida dalle chiamate di “assistenza”: Google non chiede di telefonare per sbloccare l’account e non chiede password o codici via telefono o email. Controlla periodicamente dispositivi e sessioni attive su myaccount.google.com/device-activity. Mantieni aggiornati browser, estensioni e sistema operativo. Per le aziende: applica criteri DMARC, SPF e DKIM, e forma i dipendenti sul phishing mirato.
Interrompi subito la chiamata. Cambia la password dell’account Google e di eventuali servizi riutilizzati. Revoca sessioni e dispositivi sospetti dall’account Google. Se hai inserito dati bancari, contatta la banca e attiva blocchi/monitoraggio. Conserva evidenze e valuta una segnalazione alla Polizia Postale.
