- Golpe com e-mail falso usa domínio real do Google.
- DKIM é enganado por brecha no envio automatizado.
- Golpe já fez vítimas e forçou resposta do Google.
Criminosos digitais estão explorando ferramentas do próprio Google para aplicar golpes sofisticados de phishing. O ataque começa com um e-mail aparentemente legítimo, enviado do endereço “[email protected]”, que alerta o usuário sobre uma suposta intimação policial relacionada à sua conta. O tom urgente do aviso tem como objetivo induzir o destinatário a agir sem pensar duas vezes.
O site de segurança Bleeping Computer revelou que os golpistas utilizam o Google Sites, um serviço legítimo de criação de páginas, para montar os portais de login falsos. Esses sites apresentam aparência profissional e imitam a interface da central de suporte do Google. Porém, ao clicar, o usuário acessa um link hospedado em sites.google.com, e não no domínio oficial accounts.google.com.
Golpe dribla autenticação e passa por legítimo
A EasyDMARC, empresa especializada em autenticação de e-mails, explica que os criminosos conseguiram burlar o sistema DKIM (DomainKeys Identified Mail). Esse protocolo geralmente impede falsificações, mas nesse caso específico, o e-mail passa como autêntico, pois o Google envia a mensagem diretamente. Assim, os golpistas aproveitam uma brecha no uso de aplicativos OAuth: eles colocam o conteúdo do e-mail falso como nome do app, o que engana o sistema de envio automatizado do Google.
O golpe se torna ainda mais perigoso por não apresentar sinais comuns de fraude, como erros de digitação ou domínios estranhos. Tudo parece legítimo, desde o remetente até o layout da mensagem. Mesmo quem conhece as práticas de segurança pode cair.
Um dos alvos foi o desenvolvedor do Ethereum Name Service, Nick Johnson, que denunciou o problema ao Google. Inicialmente, a empresa afirmou que o sistema operava “como esperado”. Após críticas, a gigante de tecnologia recuou e agora trabalha em uma correção para evitar novos ataques com a mesma técnica.
