Mais de um milhão de usuários de Gmail foram acertados por um ataque de phishing na tarde desta quarta-feira (3), transformando o mundo da segurança eletrônica em uma cacofonia de gritos e risadas. Gritos porque o ataque parecia ter vindo do próprio Google. Risadas porque o ataque parecia ter vindo do próprio Google.

• Este convincente ataque de phishing no Google Docs está se espalhando rapidamente
• Google e Facebook foram vítimas de um ataque de phishing com prejuízo de US$ 100 milhões

Embora alguns observadores tenham chamado ele de “sofisticado”, o ataque de quarta-feira era terrivelmente simples na superfície. Ele começava com um email convincente que continha a mesma linguagem de um convite do Google Docs, junto com o mesmo botão que o Google usa para abrir um documento (só usuários assíduos do Google Docs notariam que o design geral do email não estava exatamente certo). Ao clicar no link, você era levado a uma série de páginas que pareciam com o processo de login do Google. Por quê? Porque elas eram páginas reais do Google.

Resumindo, o hacker construiu um aplicativo chamado “Google Docs” e registrou ele dentro do Google. Por algum motivo, o Google permitiu que o aplicativo usasse seu processo de autenticação e, por sua vez, enganou muitas e muitas pessoas para darem suas contas ao hacker. Uma coisa que o Google fez direito foi fechar o ataque de phishing bem rápido. De acordo com membros do time de segurança do Google no Reddit, apenas 30 minutos se passaram da hora que o ataque foi identificado até o aplicativo falso do Google ser derrubado. Mesmo assim, o Google disse que 0,1% dos usuários do Gmail foram afetados e, por mais que isso pareça uma porcentagem bem pequena, o Google diz que eles têm mais de um bilhão de usuários do Gmail (é daí que o número, mais de um milhão, vem).

Até agora, não está claro se o hacker conseguiu colocar um Google Docs falso dentro do ecossistema OAuth do Google. A empresa diz que tem um jeito de prevenir isso, apesar da companhia se recusar a explicar exatamente como. O que faz sentido, já que o Google não quer revelar todas as suas defesas para os hackers.

“O Google detecta e revisa potenciais abusos de OAuth e derruba aplicativos que violam nossa Política de Uso de Dados, como personificar um aplicativo do Google”, um porta-voz do Google explicou ao Gizmodo por email. “Repare que todos os aplicativos verdadeiros da Google devem ser acessados diretamente de um site do Google ou instalados de uma loja do Google Play ou App Store da Apple.”

Para as pobres almas que autorizaram o aplicativo Google Docs falso, eis as más notícias. Nós sabemos que o hacker acessou os contatos da vítima, porque o ataque se espalhou ao mandar mais emails para esses contatos. Autorizar o aplicativo também teria dado acesso às suas caixas de entrada (lembre-se: o hack DNC foi traçado de volta até um ataque de phishing). Teoricamente, o hacker poderia usar os conteúdos da caixa de entrada de um indivíduo para ir atrás de contas de banco, mesmo com essa estreita janela de acesso.

“Se tiver sido planejado e se eles sabiam que certos endereços de email estavam ligados a certos bancos, os hackers tiveram bastante tempo para fazer isso”, Sven Dietrich, membro sênior da IEEE e professor associado do John Jay College of Criminal Justice, disse ao Gizmodo. “A autorização não dá seus nomes de usuários e senhas”, Dietrich disse, acrescentando que os hackers poderiam também ter executado um script que grava os toques de teclas.

Mas temos boas notícias. Uma suposta cópia do código-fonte faz parecer que o ataque de phishing foi desenvolvido para apenas se propagar, apesar de algum código mais malicioso também poder ter sido usado no ataque. Na verdade, só com o tempo saberemos quanto dano esses hackers causaram com esse phishing estupidamente simples.

Se você foi um dos pobres coitados que caiu nesse esquema, você deve mudar suas senhas e ter certeza de que aplicativos de terceiros tiveram acesso liberado, usando o Checkup de segurança do Google. Bem, todo mundo pode fazer ele só pra ter certeza, só por diversão! As vítimas devem pensar bem sobre o que está nas suas caixas de entrada, já que existe uma chance de que os dados possam terminar à venda ou na dark web em uns seis meses.

Eis outra dica, agora que estamos todos prestando atenção na nossa higiene de internet. Ao invés de usar a sua conta de Gmail normal para autorizar aplicativos através do Google OAuth, faça uma conta só para isso. Dessa forma, se você cair em algum esquema de phishing, os hackers não vão ter acesso ao email de todos os seus amigos e aos seus segredos mais obscuros. Essa conta também deve ser boa para recuperar senhas.

“Espalhe as coisas em diversas contas para o dano ficar contido em conjuntos menores”, Dietrich disse. “É um pouco como George Costanza, quando ele disse: ‘Meus mundos estão colidindo!’ Você não quer que seus mundos colidam. Você quer compartimentar.”

Até onde sabemos, as credenciais hackeadas não foram usadas para entrar na conta de banco de milhões de pessoas ainda. E já que o Google rapidamente acabou com o aplicativo falso do Google Docs, o hacker teve acesso às contas das vítimas por apenas alguns minutos. No entanto, alguns minutos é bastante tempo para roubar muitos dados, então a história pode estar apenas começando.

Imagem do topo: Gizmodo / Google