Google Gemini per Workspace: nuove minacce di phishing tramite email con testo invisibile

Una nuova minaccia si affaccia nel panorama della sicurezza informatica: la vulnerabilità recentemente scoperta in Google Gemini potrebbe cambiare le strategie degli attaccanti e ridefinire il concetto di fiducia nelle soluzioni di intelligenza artificiale integrate nei servizi di posta elettronica.

L’allarme è stato lanciato da Marco Figueroa, ricercatore presso Mozilla, che ha illustrato come un mix di tecniche basate su HTML, CSS e social engineering possa essere sfruttato per orchestrare attacchi di phishing completamente invisibili ai tradizionali sistemi di difesa.

Attenzione ai riassunti delle email

La falla riguarda in particolare i riassunti delle email generati dall’assistente AI. Attraverso una tecnica nota come prompt injection indiretta, i cybercriminali sono in grado di inserire comandi nascosti direttamente nel corpo del messaggio.

Questi comandi, del tutto invisibili all’occhio umano, vengono invece interpretati e processati dall’intelligenza artificiale quando viene richiesto un riassunto della mail, aprendo la strada a una nuova e sofisticata forma di attacco informatico.

Come funziona l'attacco

Il funzionamento dell’attacco è tanto semplice quanto efficace: sfruttando elementi di formattazione HTML e regole CSS, il testo malevolo viene reso invisibile agli utenti tramite caratteri di dimensione zero e colorazione bianca su sfondo bianco. Questo stratagemma elude la maggior parte dei filtri antispam, poiché il messaggio non contiene allegati sospetti né link potenzialmente dannosi.

Tuttavia, nel momento in cui l’utente richiede un riassunto tramite Google Gemini, l’AI interpreta il contenuto nascosto e può generare risposte manipolate, tra cui falsi avvisi di sicurezza o suggerimenti ingannevoli che invitano, ad esempio, a contattare numeri telefonici controllati dagli attaccanti per risolvere presunti problemi di account.

Aggirare i controlli automatici

La pericolosità di questa minaccia risiede proprio nella sua capacità di aggirare i controlli automatici e nel potenziale di sfruttare la fiducia che molti utenti ripongono nei riassunti email generati dall’AI. La tecnica di prompt injection indiretta, infatti, non solo inganna i filtri antispam, ma si insinua anche nel flusso di lavoro quotidiano degli utenti di Workspace, che potrebbero affidarsi ai riassunti per valutare rapidamente la sicurezza e la legittimità dei messaggi ricevuti.

Come fronteggiare l'attacco

Per fronteggiare questa nuova tipologia di attacco informatico, Marco Figueroa suggerisce un approccio articolato su più livelli. In primo luogo, è fondamentale implementare filtri in grado di rilevare e neutralizzare il testo nascosto all’interno delle email, un’operazione che richiede una revisione delle attuali policy di filtraggio e una maggiore attenzione agli elementi di formattazione sospetti.

In secondo luogo, è necessario sviluppare sistemi di analisi post-processamento che esaminino l’output di Google Gemini alla ricerca di segnali anomali o pattern tipici delle prompt injection.

Google al lavoro su delle contromisure

Dal canto suo, Google ha già annunciato di essere al lavoro su contromisure specifiche per rafforzare le difese di Workspace contro queste tecniche emergenti. L’azienda ha sottolineato che alcune protezioni sono già in fase di implementazione e che, al momento, non risultano attacchi reali condotti tramite questa metodologia. Tuttavia, la rapidità con cui i cybercriminali riescono ad adattare le proprie strategie rappresenta una sfida costante per tutti gli operatori del settore.