Golpe sofisticado usa e-mails falsos do Google para roubar credenciais. Saiba como se proteger e evitar esse novo tipo de phishing.
Novo golpe de phishing no Gmail ameaça bilhões de contas
Usuários do Gmail estão sendo alvo de um novo e sofisticado golpe de phishing que utiliza e-mails aparentemente legítimos do Google para enganar e roubar credenciais de acesso. Especialistas da Malwarebytes alertam que cibercriminosos estão explorando a infraestrutura do próprio Google para tornar os e-mails fraudulentos mais convincentes e difíceis de serem detectados pelos filtros de segurança.
Como o golpe funciona
O ataque foi inicialmente identificado por Nick Johnson, desenvolvedor do Ethereum Name Service, que recebeu um e-mail supostamente do Google, informando sobre uma intimação judicial relacionada à sua conta. O e-mail, enviado do endereço “no-reply@google.com“, passou por todas as verificações de segurança, incluindo DKIM, e direcionava o usuário para uma página hospedada no “sites.google.com”, que imitava perfeitamente a interface de login do Google.
A técnica utilizada pelos golpistas envolve a criação de páginas falsas no Google Sites, aproveitando-se da confiança que os usuários têm em domínios do Google. Além disso, os e-mails são elaborados de forma a parecerem comunicações oficiais, utilizando linguagem técnica e criando um senso de urgência para induzir o usuário a clicar nos links maliciosos.
Por que é tão perigoso
Este golpe é particularmente perigoso porque consegue burlar os tradicionais filtros de spam e autenticação de e-mails, como SPF e DKIM, fazendo com que os e-mails fraudulentos apareçam como legítimos na caixa de entrada do usuário. Ao clicar nos links, o usuário é direcionado para páginas falsas que coletam suas credenciais de login, permitindo que os cibercriminosos acessem não apenas o Gmail, mas também outros serviços vinculados à conta Google, como Drive, Fotos e YouTube.
O que o Google está fazendo
O Google reconheceu o problema e afirmou que está implementando novas medidas de segurança para combater esse tipo de ataque. A empresa recomenda que os usuários ativem a autenticação de dois fatores (2FA) e considerem o uso de passkeys, uma forma de autenticação sem senha que oferece maior segurança contra phishing.
Como se proteger
Para evitar cair nesse tipo de golpe no Gmail, siga as seguintes recomendações:
- Desconfie de e-mails que criam um senso de urgência ou solicitam informações pessoais.
- Verifique o endereço de e-mail do remetente e procure por inconsistências.
- Evite clicar em links de e-mails suspeitos; em vez disso, acesse diretamente o site oficial digitando o endereço no navegador.
- Ative a autenticação de dois fatores em sua conta Google.
- Considere o uso de passkeys para uma autenticação mais segura.
- Mantenha seu software de segurança atualizado.
Para mais informações sobre como evitar e denunciar e-mails de phishing, acesse a Ajuda do Gmail.
