Nuova truffa su Google Tasks: sembrano normali notifiche, invece rubano i tuoi dati aziendali

iStock

Una semplice notifica con oggetto “Hai un nuovo compito” può trasformarsi in un varco d’accesso ai sistemi aziendali. A lanciare l’allarme è Kaspersky, che ha individuato una campagna di phishing costruita attorno a Google Tasks.

L’attacco sfrutta notifiche autentiche generate dall’infrastruttura di Google. Il messaggio proviene quindi da un dominio legittimo, con tutte le caratteristiche che normalmente rassicurano l’utente e che, in molti casi, permettono di superare i controlli automatici della posta elettronica. Il risultato è una comunicazione priva dei segnali tipici delle e-mail fraudolente.

• Google Tasks, la nuova truffa
• Cos’è Google Tasks?
• Come usano i truffatori Google Tasks?
• Campagna di phishing che sfrutta Google Tasks: come difendersi

Google Tasks, la nuova truffa

Nel caso osservato, il destinatario riceve un avviso con oggetto “Hai un nuovo compito”. La formulazione richiama l’esperienza quotidiana di chi utilizza strumenti di collaborazione online e induce a pensare che l’azienda abbia introdotto o stia già usando Google Tasks per l’assegnazione delle attività operative.

All’interno della notifica compaiono riferimenti a priorità elevate e scadenze ravvicinate. La leva psicologica è evidente: chi lavora in contesti strutturati tende a reagire rapidamente a comunicazioni che sembrano provenire dall’organizzazione di appartenenza. In questo modo si riduce drasticamente il tempo dedicato a verificare l’autenticità del contenuto.

Cos’è Google Tasks?

Google Tasks è un servizio integrato nell’ecosistema Google che consente di creare, assegnare e monitorare attività. Le notifiche associate fanno parte del suo funzionamento e vengono recapitate attraverso i canali ufficiali della piattaforma.

È proprio questa integrazione a rendere l’operazione credibile. Non si tratta di un dominio sconosciuto né di un indirizzo alterato in modo grossolano. La comunicazione si inserisce in un flusso digitale familiare, in cui la fiducia è già consolidata dall’uso quotidiano degli strumenti Google.

Come usano i truffatori Google Tasks?

Il passaggio decisivo avviene dopo il click sul link presente nella notifica. L’utente viene reindirizzato a un modulo fraudolento che riproduce una presunta procedura interna di verifica. Con il pretesto di confermare la propria identità o il proprio status aziendale, viene richiesto l’inserimento delle credenziali di accesso.

Una volta ottenute, queste informazioni possono essere utilizzate per entrare nei sistemi aziendali senza autorizzazione. Da lì, l’esfiltrazione di dati o la preparazione di ulteriori attacchi diventa una possibilità concreta. L’abuso di piattaforme legittime rappresenta una tendenza in crescita e destinata a proseguire nel 2026. L’impiego di notifiche provenienti da domini autentici contribuisce ad aggirare molti filtri di sicurezza e ad abbassare la soglia di attenzione delle vittime.

Campagna di phishing che sfrutta Google Tasks: come difendersi

La prima difesa resta l’approccio critico verso ogni comunicazione inattesa, anche quando proviene da servizi considerati sicuri. Un invito non richiesto a completare verifiche o a inserire credenziali va valutato con prudenza. È fondamentale controllare l’indirizzo del collegamento prima di aprirlo e non utilizzare numeri di telefono presenti in messaggi sospetti.

Segnalare le e-mail dubbie al fornitore del servizio e attivare l’autenticazione a più fattori sugli account aziendali aggiunge un ulteriore livello di protezione. È inoltre opportuno contattare la propria azienda per verificare se la notifica sia effettivamente reale, fornendo tutti i dettagli disponibili. In uno scenario in cui i criminali sfruttano strumenti legittimi per mascherare le proprie attività e le truffe, la consapevolezza dell’utente diventa parte integrante della sicurezza informatica aziendale.