Colloqui di lavoro fasulli: come rubano il tuo account Google (e come evitarlo)
Una mail da un grande brand, un link per fissare il colloquio, la finta login Google: in pochi minuti potresti perdere accesso a Gmail, Drive e Calendar. Ecco come funziona la truffa che prende di mira chi cerca lavoro e come riconoscerla prima che sia tardi.
Come funziona l’inganno: il finto colloquio che porta alla finta login
Lo schema è studiato per sembrare legittimo. Ti arriva un’email che sembra provenire da un brand noto (Adidas, Coca-Cola, Netflix, American Airlines, OpenAI e altri). Il messaggio è curato: include il nome vero di un recruiter che si può trovare su LinkedIn e rimanda a una piattaforma HR reale e conosciuta. Il tutto con un solo obiettivo: farti cliccare su un unico link per “programmare il colloquio”.
Il link apre una pagina che ti chiede di accedere con Google per scegliere giorno e ora. Peccato che quella schermata sia una perfetta imitazione. È la tecnica Browser-in-the-Browser (BitB): una finta finestra di login dentro la pagina, indistinguibile a occhio nudo dalla vera. Inserisci email e password? I criminali le rubano e in pochi minuti possono entrare nel tuo account Google.
Risultato: accesso a Gmail, Drive, Calendar e a tutti i servizi collegati (documenti, contatti, magari anche strumenti aziendali). Uno shock digitale che può avere effetti a cascata sulla tua vita e sul tuo lavoro.
Per approfondire i dettagli tecnici e i marchi impersonati, leggi l’analisi di BleepingComputer.
Perché funziona così bene
Questo raggiro sfrutta la pressione psicologica del colloquio. Quando pensi di avere un’opportunità con un grande brand, vuoi muoverti in fretta e “fare bella figura”. È proprio lì che abbassi la guardia: non controlli con attenzione il mittente, non analizzi il dominio del link, accetti di fare login immediatamente.
Segnali da non ignorare (anche quando sei di fretta)
- Mittente sospetto: l’email può contenere il nome del brand ma arrivare da domini gratuiti o strani (es. Outlook, Gmail, domini con trattini o errori ortografici).
- Un solo link “obbligato”: tutto porta a cliccare un unico pulsante per fissare l’appuntamento, senza alternative o contatti ufficiali.
- Login Google dentro una pagina terza: la finestra appare come pop-up “nativo”, ma in realtà è un elemento grafico della pagina. È la firma del BitB.
- Richieste non coerenti: ti scrivono per una posizione a cui non ti sei candidato o con dettagli vaghi sul ruolo.
- Branding perfetto, dominio no: logo e firma possono essere impeccabili, ma l’URL del link non è quello del brand né di Google.
- Urgenza e FOMO: “posti limitati”, “scegli subito lo slot”, “conferma entro oggi”. La fretta è la loro arma.
Come difenderti davvero
- Verifica il dominio del mittente: non basta il nome visualizzato; controlla l’indirizzo completo. Se dubiti, non rispondere e non cliccare.
- Vai tu sulle pagine ufficiali: apri una nuova scheda e visita il sito dell’azienda (sezione Careers) o il profilo LinkedIn del brand per confermare il processo di selezione.
- Diffida della login: per accedere a Google, digita tu google.com nel browser e fai login da lì, non da una finestra in un sito terzo.
- Abilita l’autenticazione a due fattori e, se puoi, chiavi di sicurezza/passkey.
- Usa un password manager: spesso non compila credenziali su pagine fasulle perché l’URL non combacia con quello reale.
- Controlla le autorizzazioni del tuo account Google: rivedi app collegate e dispositivi attivi regolarmente.
- Prenditi tempo: nessuna selezione seria ti scarterà perché ti sei preso un’ora per verificare.
Hai già cliccato? Ecco cosa fare subito
- Cambia la password Google da un dispositivo sicuro.
- Disconnetti le sessioni attive e rivedi i dispositivi collegati (Impostazioni account > Sicurezza).
- Rimuovi le app collegate sospette e revoca i permessi non riconosciuti.
- Attiva/rafforza 2FA (meglio con app di autenticazione o chiave fisica).
- Controlla Gmail e Drive per attività anomale (inoltri creati, filtri, documenti condivisi).
- Avvisa i contatti se temi che possano ricevere messaggi truffa dal tuo account.
Chi è nel mirino (e perché potresti esserlo anche tu)
Il target sono professionisti e candidati in settori digitali (marketing, vendite, tech, corporate). Persone attive su LinkedIn, abituate a gestire calendari e call, e spesso con accesso a risorse aziendali. I ricercatori hanno osservato decine di domini e identità “clonate” di grandi brand: abbastanza vari da far cadere la diffidenza e abbastanza credibili da superare i controlli superficiali.
La verità è scomoda ma utile: le truffe migliori non si riconoscono dal logo sbagliato. Si riconoscono quando non ti fai mettere fretta e quando non accetti di fare login a Google dentro un sito che non è Google.
Ricapitolando
- L’email finge l’invito a un colloquio con un grande brand.
- Ti spinge a fissare lo slot con un link unico.
- Compare una finta finestra di login Google (tecnica BitB) che ruba le credenziali.
- Gli hacker prendono il controllo del tuo account e dei servizi collegati.
- La difesa passa da verifiche di base, 2FA solida e zero fretta.
Iscriviti alla newsletter e ricevi ogni mattina la puntata con le fonti.
👉 Per scoprire tutti i dettagli e l’opinione personale di Mario Moroni, ascolta la puntata completa su Spotify.