Sembra una proposta di lavoro vera, ma è una truffa: ecco come difendersi

123rf

Di recente è stata individuata una tipologia di truffa digitale particolarmente efficace, che punta a colpire la fascia di utenti professionisti con maggiore esperienza. Si tratta di un attacco di phishing estremamente curato, che non si presenta con i soliti messaggi sgrammaticati o promesse di vincite improbabili. La truffa in questione si maschera da legittimo processo di selezione del personale per conto di colossi mondiali come Adobe, Pepsi o altre aziende che fanno parte della lista Fortune 500.

• L’illusione della legittimità attraverso l’IA
• Lo sfruttamento del sistema Google AppSheet
• Come riconoscere l'inganno e proteggersi

L’illusione della legittimità attraverso l’IA

Il successo di questa operazione criminale risiede nella personalizzazione del messaggio. Grazie all’avvento dell’intelligenza artificiale di tipo “Agentic”, i truffatori sono ora in grado di generare email su misura che riflettono fedelmente le competenze e il percorso lavorativo della vittima. Ricevere una proposta per una posizione di rilievo che sembra cucita addosso al proprio profilo rende molto più difficile mantenere la guardia alta, specialmente quando il tono e il linguaggio utilizzato sono impeccabili e professionali.

Lo sfruttamento del sistema Google AppSheet

L’aspetto più preoccupante di questa campagna riguarda lo strumento tecnico utilizzato per l’invio. Gli aggressori stanno sfruttando AppSheet, una piattaforma di Google progettata per creare applicazioni aziendali e sistemi di gestione dei contatti. Inserendo in calce alla mail la dicitura “Inviato da AppSheet”, i malintenzionati riescono a simulare la presenza di un sistema automatico di reclutamento interno all’azienda.

Questa strategia crea una pericolosa falla nella sicurezza informatica. Poiché l’email viene effettivamente spedita tramite i server di Google, l’indirizzo del mittente appare come un legittimo dominio legato a Google. Di conseguenza, i messaggi riescono a bypassare i sistemi di protezione e i filtri antispam che solitamente bloccano le email provenienti da domini sospetti o poco autorevoli. Il software di protezione legge l’origine certificata da Google e concede il via libera, facendo atterrare la minaccia direttamente nella posta in arrivo dell’utente.

Come riconoscere l’inganno e proteggersi

Nonostante l’apparente perfezione, esistono segnali inequivocabili per smascherare il tentativo di furto di dati. Il primo elemento da analizzare è sempre l’indirizzo email reale del mittente. Anche se il nome visualizzato possa essere quello di una grande azienda, l’indirizzo effettivo risulterà terminare con @appsheet.com e non con il dominio ufficiale della società che dichiara di scrivere. Le multinazionali utilizzano esclusivamente i propri canali certificati per le comunicazioni ufficiali di selezione.

Un altro segnale di allarme è l’assenza di riferimenti diretti. In un vero processo di selezione del personale, l’email è solitamente firmata da un recruiter specifico e contiene riferimenti verificabili. Ad esempio un link diretto a un calendario professionale per fissare un colloquio conoscitivo, ma anche, banalmente, un nome e cognome e un numero di telefono. La mancanza di questi dati nella firma della mail deve sempre indurre al sospetto. In caso di dubbi, la procedura più sicura rimane contattare l’azienda attraverso i canali ufficiali o verificare l’identità del mittente su piattaforme professionali come LinkedIn prima di fornire qualunque informazione personale.

La tecnologia di Google AppSheet rappresenta attualmente una vulnerabilità che l’azienda di Mountain View dovrà risolvere tempestivamente per evitare che strumenti nati per la produttività diventino armi per il crimine informatico. Nel frattempo, la prudenza e l’attenzione ai dettagli tecnici rimangono gli strumenti di difesa più efficaci per ogni utente.