Produtividade

Por Melissa Cruz Cossetti e Filipe Garrett, para o TechTudo


Um complexo esquema de phishing está usando o Google Docs como meio de propagação em massa. Usuários da nuvem do Google estão recebendo por e-mail falsos convites para edição de documentos que acabam se mostrando iscas para que se tornem vítimas de absusos online. Ao aceitar o convite, normalmente enviado a partir de algum contato previamente infectado, — como uma espécie de corrente — o usuário dá aos criminosos acesso aos seus contatos de e-mail, além de dados de login e senha de contas nos serviços online. Segundo Google, o app malicioso já foi retirado do ar e deve parar de alastrar pela rede.

Hackers usam Google Docs para veicular ataque phishing bastante elaborado — Foto: Melissa Cruz/TechTudo

O ataque chama atenção porque é muito mais elaborado do que uma campanha de phishing convencional. Quem está por trás do esquema desenvolveu uma página de autorização de acesso que usa a estrutura do Google. Isso significa que mesmo usuários mais atentos terão alguma dificuldade em perceber que estão sendo conduzidos a uma página totalmente falsa com golpe de phishing.

Ao usar a estrutura do Google, os criadores do ataque driblaram uma das formas mais comuns de se detectar um ataque deste tipo: um site aparentemente legítimo, mas com um endereço URL falso. Para identificar a falsidade do convite, o usuário tinha que deixar o cursor do mouse repousar sobre o título do aplicativo para revelar o nome do desenvolvedor — que, neste caso, não é o Google.

Segundo Fabio Assolini, especialista da Kaspersky Lab no Brasil, esse tipo de phishing mais elaborado não é inédito. "Chamamos de 'ataque OAuth', em que a mensagem maliciosa enviada a vítima mostra a URL verdadeira do serviço, seja Gmail, Facebook, Twitter e etc. Mas, uma vez clicado, levará a página de autorização, onde será solicitado por um web app o acesso a conta do usuário".

Exemplo de e-mail de golpe de phishing com Google Docs — Foto: Reprodução / Melissa Cruz

"Caso concorde, o usuário estará dando acesso à sua conta e às suas mensagens a um web app malicioso, que pode usar a conta da vítima também de forma maliciosa", completa o especialista. Ainda de acordo com Assolini, o ataque é bastante eficaz por três motivos: o e-mail malicioso mostra a URL legitima do serviço, mesmo que o usuário mude a senha, o acesso continuará existindo e o ataque funciona independentemente do usuário ter ativo dupla autenticação.

Menos de 0,1% dos usuários Gmail

Segundo o Google, que corrigiu o problema, uma análise mais detalhada provou que o golpe atingiu uma fatia bastante reduzida da sua base que soma mais de um bilhão de usuários.

“Entendemos que as pessoas estão preocupadas com suas contas Google e, depois de uma extensa análise, conseguimos oferecer uma explicação mais detalhada. Tomamos ações para proteger os usuários de uma campanha de spam por e-mail que se passava por uma comunicação do Google Docs — o caso afetou menos de 0,1% dos usuários de Gmail", explicou o Google.

O TechTudo recebeu algumas vezes esse mesmo e-mail, conforme screenshot acima. Ainda de acordo com a gigante de buscas, foram necessárias várias ações para corrigir tudo efetivamente.

"Protegemos nossos usuários desses ataques com uma combinação de ações automáticas e manuais, incluindo a remoção de páginas falsas e aplicativos. Além disso, fizemos atualizações no Safe Browsing, no Gmail e outros sistemas. Conseguimos deter a campanha em aproximadamente uma hora. Apesar de a campanha ter tido acesso às informações de contato, nossas investigações mostram que nenhum outro dado foi exposto. Não há nenhuma ação que os usuários precisem tomar. Quem quiser rever os aplicativos terceiros conectados às suas contas pode visitar Verificação de Segurança”, completou o Google, em nota enviada ao TechTudo nesta quinta-feira (4).

Ataques envolendo Twitter, Facebook e Google Docs

Ataques similares já ocorreram no passado, afetando contas no Twitter e no Facebook. Desde ontem, a Kaspersky Lab monitorou uma grande leva de phishing usando o tema do Google Docs, entre esses dominios estão sites falsos e maliciosos que usam o nome da nuvem: g-cloud.pro, docscloud.win, docscloud.download, docscloud.info, g-cloud.win, g-docs.pro, gdocs.download, gdocs.pro, docscloud.info, g-cloud.pro, g-docs.pro e também gdocs.pro.

Quem caiu, e acabou aceitando o convite — enviado em inglês — para edição do documento falso (como na foto acima), já pode verificar sua conta: há grande possibilidade de que os criminosos tenham usado o e-mail com que o usuário acessa o Docs para enviar spams e convites para todos os seus contatos, disseminando o ataque para os seus amigos.

Como recuperar a sua conta

Se você foi vítima do ataque de phishing no Google Docs, a melhor forma de resolver o problema é realizando uma verificação nos Apps Conectados à sua conta do Google e removendo qualquer coisa suspeita ou não autorizada.

Mais do TechTudo