Segurança e Privacidade

Nova técnica de phishing usa domínio do Google para aplicar golpe

(Imagem: Mojahid Mottakin / Shutterstock.com)

Um novo golpe de phishing está explorando os próprios serviços do Google para enganar usuários com e-mails que parecem legítimos. Utilizando o Google Sites, os invasores criam mensagens falsas que simulam alertas de intimação policial enviados por “no-reply@google.com”.

Conforme revelou o Bleeping Computer, o e-mail alega que autoridades estão solicitando informações da conta Google da vítima, criando um senso de urgência que visa induzi-la a clicar em um link falso e inserir suas credenciais.

Como o golpe funciona

  • A técnica consegue burlar o sistema de autenticação DKIM, normalmente usado para verificar a legitimidade de e-mails.
  • Isso acontece porque a mensagem é enviada diretamente pela plataforma do Google, o que faz com que os sistemas de segurança a tratem como autêntica.
  • O conteúdo do e-mail é inserido como o nome do aplicativo falso criado pelos golpistas, e essa informação é automaticamente exibida no corpo do e-mail enviado pelo Google.

O ataque leva os usuários a uma página hospedada no sites.google.com, cuidadosamente projetada para se parecer com uma página oficial de suporte da Google. Essa semelhança pode enganar até mesmo usuários experientes, uma vez que o domínio parece confiável à primeira vista.

Cibercriminosos usam ferramentas do Google para criar e-mails falsos quase perfeitos (Imagem: Visuals6x/Shutterstock)

Ataques parecidos ocorreram em outras plataformas

Casos similares também já afetaram usuários do PayPal. Um dos alvos recentes foi Nick Johnson, desenvolvedor do Ethereum Name Service, que denunciou o uso indevido das permissões OAuth do Google pelos hackers.

Leia mais:

Inicialmente, o Google afirmou que o sistema estava funcionando como previsto, mas após maior repercussão, reconheceu o problema e afirmou estar trabalhando em soluções. Em nota, a empresa recomendou a adoção de autenticação em dois fatores e o uso de chaves de acesso como defesa contra esse tipo de ameaça.

Nova técnica de phishing abusa dos serviços do Google para escapar de filtros de segurança (Imagem: Nataliia Hruts / iStock)

Esta post foi modificado pela última vez em 22 de abril de 2025 20:49

Compartilhar
Publicado por
Leandro Costa Criscuolo
Tags: GmailgolpeGooglehackerphishing
23 de abril de 2025 07:30