Abuso dei reindirizzamenti di Google nelle campagne di phishing: Analisi del SOC Integrity360

Il Security Operations Center (SOC) di Integrity360 ha recentemente identificato e analizzato una campagna di phishing avanzata che sfrutta URL di reindirizzamento legittimi di Google, in particolare domini come share.google, per nascondere la destinazione finale dei link dannosi e aumentare in modo significativo la probabilità di interazione con l'utente.

Questa attività si allinea a una tendenza globale più ampia e ben documentata osservata da diverse organizzazioni di ricerca sulla sicurezza informatica e fornitori di informazioni sulle minacce, che evidenzia il crescente abuso dei meccanismi di reindirizzamento di Google come tecnica di evasione e di ingegneria sociale. I risultati del SOC di Integrity360 sono pienamente coerenti con le ricerche riportate pubblicamente e confermano che queste campagne sono rimaste attive e in evoluzione dalla fine del 2025 all'inizio del 2026.

Osservazioni iniziali del SOC di Integrity360

Durante le attività di monitoraggio di routine e di risposta agli incidenti, il SOC di Integrity360 ha rilevato un aumento delle e-mail di phishing segnalate da Microsoft Defender contenenti URL con le seguenti caratteristiche:

- URL che iniziano con https://share.google/
- percorsi URL composti da stringhe alfanumeriche apparentemente casuali
- Nessun indicatore di malware evidente nella parte iniziale dell'URL
- Reindirizzamento a domini esterni non Google.

Un esempio rappresentativo osservato è stato:

https://share.google/WZVPCOYZZLbKAmFeF

A prima vista, questi link appaiono legittimi agli utenti finali grazie alla fiducia intrinseca associata al marchio Google. Tuttavia, l'analisi dinamica ha confermato che questi URL funzionano come reindirizzatori, inoltrando gli utenti verso destinazioni esterne e potenzialmente dannose.

Comportamento dei reindirizzamenti e tecniche di evasione

L'analisi Sandbox condotta dal SOC di Integrity360 ha rivelato che la destinazione finale del reindirizzamento non è statica. Al contrario, può variare in base a diversi fattori, tra cui l'agente utente, il contesto di navigazione e gli attributi ambientali. In alcuni casi, gli ambienti sandbox sono stati reindirizzati a siti web benigni o casuali, mentre gli utenti reali sono stati indirizzati a pagine di phishing attive.

Questo comportamento è coerente con le tecniche avanzate di elusione delle sandbox, progettate per aggirare il rilevamento automatico, i sistemi di reputazione degli URL e l'analisi dei link dei gateway di posta elettronica sicuri.

Email auto-spoppate e abuso dell'infrastruttura di Google

Un'altra caratteristica degna di nota identificata durante l'indagine è il mittente apparente delle e-mail di phishing. In molti casi, le e-mail sembravano provenire dall'account Gmail personale del destinatario e venivano recapitate al suo indirizzo e-mail aziendale.

Questa tecnica, comunemente definita self-spoofing o replay phishing, sfrutta la fiducia e la familiarità degli utenti, aumentando significativamente la credibilità del messaggio e riducendo la diffidenza degli utenti. Sfruttando l'infrastruttura legittima di Google, queste e-mail possono eludere i controlli di fiducia e di autenticazione di base.

Allineamento con le campagne documentate pubblicamente

Le tecniche osservate dal SOC di Integrity360 rispecchiano fedelmente quelle documentate da numerosi ricercatori e fornitori di sicurezza informatica. La ricerca pubblica ha costantemente dimostrato che gli aggressori abusano di vari meccanismi di reindirizzamento di Google, tra cui share.google, google.com/url, google.sm, Google AMP, Google Translate e Google Maps, per oscurare le destinazioni dannose e aggirare i controlli di sicurezza.

Gli aggressori ruotano spesso domini, percorsi e parametri per eludere le regole di rilevamento statico, facendo affidamento sull'elevata reputazione dei domini di proprietà di Google, che spesso sono implicitamente affidabili o inseriti negli elenchi dei permessi all'interno degli ambienti aziendali.

Impatto sulle aziende

Queste tecniche di phishing rappresentano un rischio significativo per le organizzazioni per diversi motivi. I domini di Google affidabili riducono lo scetticismo degli utenti, il filtraggio statico degli URL diventa inefficace, gli ambienti sandbox possono non osservare il vero comportamento dannoso e le e-mail autospoofate riducono drasticamente la vigilanza degli utenti.

Le organizzazioni che si affidano principalmente alla reputazione del dominio o all'ispezione statica dei link sono particolarmente vulnerabili a queste campagne.

Raccomandazioni di sicurezza

Sulla base dei risultati, il SOC di Integrity360 raccomanda un approccio di difesa a più livelli. I controlli di autenticazione delle e-mail dovrebbero includere una rigorosa applicazione del DMARC impostata su quarantena o rifiuto, un rigoroso allineamento SPF e la firma DKIM obbligatoria per le e-mail in uscita per ridurre l'efficacia degli attacchi di spoofing e replay.

I controlli di sicurezza Web devono essere configurati per analizzare le catene di reindirizzamento e bloccare gli scenari in cui i domini affidabili reindirizzano a destinazioni non affidabili. I team di sicurezza devono evitare di basarsi esclusivamente sul dominio iniziale per valutare la sicurezza dei collegamenti.

La consapevolezza degli utenti rimane fondamentale. Gli utenti devono essere informati che i link a marchio Google non sono intrinsecamente sicuri, che le e-mail che sembrano provenire da loro stessi devono essere trattate con cautela e che i link di reindirizzamento possono nascondere pagine di phishing.

Conclusioni

L'analisi del SOC di Integrity360 conferma che l'abuso di reindirizzamento di Google rappresenta una delle tecniche di phishing più efficaci e persistenti attualmente in uso. Combinando infrastrutture affidabili, reindirizzamento dinamico e sofisticato social engineering, gli aggressori sono in grado di aggirare sia i controlli tecnici sia le difese umane.

Questo panorama di minacce rafforza la necessità di controlli di sicurezza a più livelli, analisi comportamentali, formazione continua degli utenti e informazioni aggiornate sulle minacce. Il SOC di Integrity360 continua a monitorare attivamente queste campagne e a supportare i clienti nell'identificazione, nella mitigazione e nella risposta a questa minaccia in continua evoluzione.