Categorias

Campanha de phishing em larga escala atingiu usuários do Gmail

Uma campanha de phishing em escala jamais vista atingiu inúmeros usuários do Gmail nessa quarta-feira, se aproveitando de uma falha de segurança do Google.

Uma falsa mensagem enviada a partir de um dos contatos induzia a vítima a editar um arquivo que estaria armazenado no Google Docs, mas tudo não passava de um golpe.

O Google já corrigiu a vulnerabilidade, que combinava táticas de engenharia social com um erro banal cometido pelo próprio Google. A forma de propagação do ataque lembrava muito os worms do passado: a vítima recebia uma mensagem de email cuidadosamente preparada, aparentemente enviada por um de seus contatos. Na mensagem havia um convite para editar um documento no Google Docs, mas que na verdade redirecionava para uma página falsa que simulava o serviço de edição de documentos.

Uma vez na página falsa, a vítima recebia uma solicitação para autorizar um aplicativo chamado “Google Docs”, que precisava da permissão do usuário autenticado para ter acesso ao Gmail. A partir deste ponto, o “Google Docs” utilizava a própria lista de contatos de Gmail da vítima para continuar a propagação. Até o momento não há relatos de que uma carga infecciosa tenha sido baixada ou instalada nos sistemas dos usuários ou que a rede de contatos tenha sido utilizada para propagar spam, mas possivelmente uma destas alternativas seria a etapa seguinte do ataque.

phishing

A principal falha do Google foi permitir a existência de um aplicativo web não-autorizado chamado de “Google Docs”, o que induziu muitos usuários ao erro. Não se sabe ainda quais foram os autores do sofisticado esquema de phishing ou mesmo suas intenções finais. De acordo com o Google, a falha de segurança foi corrigida, as permissões foram revogadas e a página falsa também foi derrubada.

Ainda segundo o Google, menos de 0,1% dos usuários do Gmail foram afetados pela ação e as providências teriam sido tomadas rapidamente: “nós fomos capazes de interromper a campanha dentro de aproximadamente uma hora. Embora informações de contato tenham sido acessadas e usadas pela campanha, nossas investigações mostraram que nenhum outro dado foi exposto. Não há outras ações que os usuários precisem tomar em relação a esse evento”.

Entretanto, se o usuário realmente desejar dar uma conferida nas permissões concedidas por sua conta e revisar os aplicativos vinculados a ela, o Google lembra que essa funcionalidade está sempre disponível nas configurações de sua conta.