Gli hacker stanno prendendo il controllo degli account Google nonostante la protezione 2FA

Bentrovati amici di TuttoYoTube! Gli utenti disperati di Gmail e YouTube si rivolgono ai forum di supporto ufficiali e non ufficiali di Google dopo che gli hacker hanno preso il controllo dei loro account, aggirando la sicurezza dell’autenticazione a due fattori e quindi bloccandoli. Di volta in volta, gli aggressori sembrano far parte di una truffa di criptovaluta che presumibilmente regala XRP di Ripple a coloro che rispondono.

Gli utenti di Google si rivolgono ai forum di supporto mentre gli hacker prendono di mira gli account Gmail e YouTube

Se si esaminano i vari forum di supporto per i prodotti Google come Gmail e YouTube, compresi i forum ufficiali di Google e quelli su Reddit, si vedranno sempre persone disperate che chiedono informazioni sul recupero dell’account. Questi di solito si riferiscono a qualcuno che dimentica la password, subisce il furto del telefono, cambia numero di telefono e così via. Tuttavia, quando vedi emergere uno schema di persone i cui account sono stati violati nonostante abbiano attivato la 2FA e non siano in grado di recuperare i loro account, sai che sta accadendo qualcosa fuori dall’ordinario.

A parte il numero di account compromessi nonostante la protezione 2FA in atto, sembra esserci un altro denominatore comune sotto forma di criptovaluta Ripple Labs, o, piuttosto, truffe che sfruttano XRP.

Ripple Labs emette un avviso di truffa sulla criptovaluta XRP

Ripple si è rivolta a X nel tentativo di diffondere la consapevolezza della crescente ondata di attacchi contro gli account Gmail e YouTube, che vengono poi utilizzati per intrappolare lettori e spettatori con una serie di truffe. La più comune di queste è quella che è nota come truffa di cripto-raddoppio, che promette di rimborsare il doppio della quantità di XRP che qualcuno invia a quello che pretende di essere un vero account di gestione di Ripple. Alcuni degli account YouTube compromessi hanno, ad esempio, utilizzato video generati da deepfake del CEO di Ripple Labs, Brad Garlinghouse, per l’autenticità.

In un post su X pubblicato l’11 aprile, Ripple Labs avverte che non chiederà mai a nessuno di inviare XRP e indica ai lettori preoccupati consigli su come evitare le truffe di criptovaluta.

Come gli hacker aggirano la sicurezza 2FA

In risposta alla domanda “In che modo gli attori delle minacce violano la sicurezza 2FA?”, la risposta è che non lo fanno. Semplicemente la aggirano completamente.

È molto probabile che gli utenti che si trovano bloccati fuori dal proprio account Google, con password e dettagli 2FA modificati per impedire loro di rientrare, siano caduti vittima di quello che è noto come un attacco di dirottamento dei cookie di sessione. Questo attacco inizia spesso con un’e-mail di phishing che porta a malware in grado di acquisire i cookie di sessione progettati per aiutare gli utenti ad accedere più rapidamente, a tornare al punto in cui avevano interrotto e così via.

Il problema è che se un malintenzionato riesce a entrare in possesso di questi cookie dopo che un utente ha effettuato correttamente l’accesso, può essenzialmente riprodurli e aggirare la necessità di un codice 2FA. Per il sito, l’autenticazione è già andata a buon fine, l’utente è già loggato.

Google afferma che gli utenti hanno 7 giorni per recuperare gli account 2FA compromessi

Google in merito al problema del dirottamento dei cookie di sessione, ha riconosciuto essere un problema esistente da tempo per la sicurezza degli account su Internet. “Ci sono tecniche che utilizziamo e aggiorniamo continuamente per rilevare e bloccare gli accessi sospetti che indicano cookie potenzialmente rubati, oltre a portare avanti innovazioni come le credenziali di sessione associate al dispositivo”, ha affermato un portavoce di Google,

Per quegli utenti i cui account sono già stati violati e i loro fattori di secondo fattore e recupero sono cambiati, secondo Google, non tutto è perduto. “Il nostro processo di recupero automatizzato dell’account consente a un utente di utilizzare i propri fattori di recupero originali per un massimo di 7 giorni dopo la modifica”, afferma il portavoce, “a condizione che li abbia impostati prima dell’incidente”.

Quando si tratta di igiene generale della sicurezza dell’account, Google consiglia di assicurarsi che l’account sia configurato per il ripristino in modo da garantire meno attriti se dovessero riottenere l’accesso per qualsiasi motivo. “Per una protezione aggiuntiva, continuiamo a incoraggiare gli utenti a sfruttare gli strumenti di sicurezza, come le passkey e il Security Checkup di Google”, conclude il portavoce.