Un attacco mirato ha colpito il sistema di supporto cloud di Google: non si tratta di una falla tecnica, ma di un inganno psicologico ai danni di un partner.
Giugno 2025: un attacco silenzioso, ma potenzialmente devastante, prende di mira Google. Solo ad agosto, settimane dopo l’intrusione, la notizia inizia a circolare, innescando una crescente ondata di preoccupazione tra gli utenti di Gmail, che oggi sono oltre 2,5 miliardi nel mondo. Alcuni media parlano addirittura di “tutti gli account compromessi”, ma Google interviene per fare chiarezza: nessuna violazione diretta ai server Gmail, ma l’attacco c’è stato — e i dati rubati sono comunque sensibili.
La società ha pubblicato un lungo post di aggiornamento l’8 agosto sul blog di Google Cloud, segnalando un caso di vishing, una tecnica di attacco telefonico che colpisce il fattore umano e non i sistemi informatici.
L’attacco non ha colpito Gmail direttamente: ecco come è stato possibile violare Google
Contrariamente a quanto molti hanno creduto inizialmente, il furto di dati non è partito da una falla nei server Gmail, ma da una truffa telefonica ben orchestrata. Alcuni hacker hanno contattato un dipendente di un’azienda partner di Google, fingendosi tecnici IT autorizzati. Con tono rassicurante e approccio professionale, sono riusciti a convincerlo a installare uno strumento falso di autenticazione sulla piattaforma Salesforce, usata da Google per il supporto clienti in cloud.
Una volta ottenuto l’accesso remoto, il passaggio successivo è stato semplice: esportare dati sensibili come email, numeri di telefono, log delle attività e interazioni con i sistemi. Nessuna violazione dei server, ma una manipolazione psicologica che ha aperto le porte dall’interno, bypassando anche i più sofisticati sistemi di sicurezza.
Google ha sottolineato che il post ufficiale è stato pubblicato su Google Cloud e non su Gmail Blog, proprio per chiarire che Gmail come servizio non è stato tecnicamente compromesso. Tuttavia, l’evento resta grave, perché i dati acquisiti potrebbero essere utilizzati in campagne successive di phishing, estorsione o attacchi mirati.
I gruppi criminali coinvolti e le minacce reali per gli utenti
Secondo quanto reso noto, dietro l’attacco si celano due gruppi noti dell’ambiente cybercriminale, identificati come UNC6040 e UNC6240. Il primo si sarebbe occupato della fase di vishing, mentre il secondo della monetizzazione delle informazioni raccolte. Gli hacker, infatti, non si accontentano di accedere ai dati aziendali: il vero obiettivo è utilizzarli per estorcere denaro o per trarre profitto tramite il mercato nero digitale.
Google ha anche smentito la presenza del gruppo ShinyHunters, inizialmente citato da alcuni media come responsabile dell’attacco.
L’ultimo aggiornamento ufficiale dell’8 agosto specifica che il processo di notifica alle aziende coinvolte è stato completato, ma non sono stati diffusi dettagli pubblici sui nomi delle aziende effettivamente colpite, né sul numero esatto degli utenti coinvolti.
Alcune fonti interne riportano che il numero reale degli utenti impattati potrebbe non essere 2,5 miliardi, ma diverse centinaia di migliaia, a seconda delle interazioni che questi hanno avuto con il supporto Google attraverso Salesforce nei mesi precedenti.
Come difendersi: consigli pratici e aggiornati al 2025
Anche se l’infrastruttura di Gmail non è stata violata, chiunque abbia ricevuto assistenza clienti da Google o da partner ufficiali potrebbe essere stato esposto. In questi casi, le buone pratiche di cybersecurity personale diventano fondamentali:
Modificare la password di Gmail e attivare l’autenticazione a due fattori se non è già attiva.
Verificare gli accessi recenti dal proprio account, per escludere attività sospette.
Prestare estrema attenzione alle email, anche se sembrano arrivare da indirizzi noti, soprattutto se contengono link, allegati o richieste urgenti.
Diffidare di chiamate improvvise o messaggi in cui qualcuno si finge operatore tecnico o supporto ufficiale.
Secondo recenti analisi del Cyber Emergency Team europeo, gli attacchi di tipo social engineering sono aumentati del 38% nel primo semestre del 2025, con una crescita particolare nei settori tecnologici e bancari.
Il data breach che ha coinvolto Google rappresenta una lezione preziosa sulla vulnerabilità umana anche nei sistemi più protetti. In un mondo in cui l’AI e la sicurezza informatica avanzano a ritmi incalzanti, il fattore umano resta il punto debole più esposto. Il caso solleva interrogativi urgenti su come vengono gestite le informazioni sensibili nei rapporti tra le grandi aziende e i loro fornitori e su quanto possiamo davvero fidarci di ciò che non vediamo. La fiducia digitale, ancora una volta, si conferma fragile.