Fabian Sommer/dpa - Arquivo
MADRI 18 abr. (Portaltic/EP) -
O engenheiro de software Nick Johnson alertou sobre uma campanha de phishing que se faz passar pelo Google de forma tão realista que nem sequer foi detectada pelas proteções do Gmail.
O phishing é uma das ameaças mais comuns à segurança cibernética. Os criminosos cibernéticos se fazem passar por empresas e órgãos governamentais conhecidos das vítimas em suas mensagens, enviadas principalmente por e-mail, e as induzem a fazer pagamentos, compartilhar informações pessoais ou fazer download de arquivos que escondem malware.
Uma recente campanha de phishing chamou a atenção por burlar os controles do Google e do Gmail, pois os e-mails enviados são assinados pelo próprio Google e até reproduzem com bastante fidelidade as comunicações enviadas pela empresa.
Especificamente, Johnson compartilhou um e-mail enviado de accounts.google.com que ele recebeu em sua caixa de entrada, avisando sobre um alerta de segurança e incluindo um link para uma página de suporte em sites.google.com.
A página que foi aberta era uma página de suporte falsa, criada no Google Sites, a ferramenta do Google que facilita a criação de uma página da Web com um subdomínio do Google. Ela também solicitava o upload de documentos adicionais ou redirecionava para uma página de login, que novamente replicava a página do Google.
O engenheiro explicou que, especialmente em termos do e-mail a partir do qual foi enviado, isso fazia parte do que ele chamou de "um ataque de phishing extremamente sofisticado".
Uma análise mais detalhada das informações do remetente permitiu que ele visse que, na verdade, o e-mail havia sido originado de um endereço privateemail.com. Para fazer com que parecesse vir do Google, os invasores registraram um domínio e criaram uma conta vinculada do Google. Em seguida, criaram um aplicativo Google Oauth, dando acesso à conta do Google.
Esse processo resultou no envio de um e-mail assinado pelo próprio Google, conforme explica o engenheiro de software em um tópico compartilhado na rede social X (antigo Twitter).
Embora inicialmente o Google não fosse corrigir essa falha de segurança, Johnson diz que o Google reconsiderou sua posição e corrigirá o bug do Oauth.
Esta notícia foi traduzida por um tradutor automático