Ha preso di mira il settore phishing, ha scoperto un problema in seno a Microsoft (autenticazioni Passport), oggi pubblica l’ennesimo richiamo puntando ad un nuovo destinatario: Google. Il nome è quello del solito Salvatore Aranzulla, giovane contraddistintosi in passato per altre scoperte in quanto a sicurezza informatica (e che già rivolse la propria attenzione in passato verso Google in riferimento ad un problema nel Google Desktop Search). L’ultima falla scoperta è nel sistema AdSense ed è tale da aprire a malintenzionati la possibilità di un attacco di phishing. Google avrebbe già ammesso il problema (disponibile sul sito del ragazzo il testo della mail proveniente da Google a seguito della segnalazione originaria) e sarebbe all’opera per porvi rimedio.
Il problema è il solito: è possibile imitare un url e, facendo credere all’utente di essere sul sito AdSense, lo si può invece dirottare su un sito parallelo appositamente creato e tentare di estorcere pagamenti, dati personali e quant’altro. L’alta fiducia riposta dagli utenti nel nome Google è uno dei maggiori fattori in grado di favorire una truffa simile.
Aranzulla ha messo a disposizione sul proprio sito personale tutte le istruzioni (con tanto di animazione flash esemplificativa) utili a comprendere il problema. Un eventuale attacco richiede una incompleta conoscenza del sistema AdSense ed una precisa interazione da parte dell’utente colpito (condizioni comunque non difficili da verificarsi): il fatto che il sistema tratti di pagamenti, come rilevato dallo stesso Aranzulla nella propria spiegazione, rende più facile l’ottenimento di dati quali il numero della carta di credito dell’ignara vittima.
Dal caso emergono un problema phishing sempre più attuale e concreto (l’attenzione profonda dell’utente non sempre costituisce parametro sufficiente per evitare attacchi particolarmente ben congegnati), una ennesima dimostrazione di capacità da parte del 15enne informatico nostrano ed una piccola importante scalfitura nella solida corazzata Google.