Resumo:
- Falha no Gmail e Google Agenda permite o phishing, modo de invasão que usa links falsos para copiar informações dos usuários e coletar dados bancários;
- O perigo foi descoberto em 2017, mas só foi oficializado pelo Google na semana passada;
- Para escapar do problema, usuários podem desabilitar o convite automático no Google Agenda.
Em 2017, dois pesquisadores da Black Hills Information Security revelaram como uma vulnerabilidade no aplicativo Google Agenda expunha mais de um bilhão de usuários ao roubo de credenciais. O Google aparentemente não corrigiu isso naquele momento, pois a ação causaria “grandes inconvenientes de funcionalidade” para os usuários, apesar dos pesquisadores demonstrarem como eles haviam armado a vulnerabilidade no Wild West Hackin ‘Fest.
LEIA MAIS: Google é alvo de nova investigação antitruste nos EUA
Em 11 de junho de 2019, publicamos sobre como a vulnerabilidade ainda colocava em risco 1,5 bilhão de usuários do Gmail. Um porta-voz do Google respondeu à minha postagem: “Os Termos de Serviço e as políticas de produtos do Google proíbem a disseminação de conteúdo malicioso em nossos serviços, e trabalhamos diligentemente para impedir e solucionar proativamente o abuso”. Essa declaração dizia que o Google oferece “proteções de segurança para os usuários, alertando-os sobre URLs maliciosas conhecidas por meio dos filtros de navegação segura do Google Chrome“. Agora, ao que parece, o Google finalmente resolveu levar esse problema de segurança um pouco mais a sério.
Como o ataque funciona no Google Agenda?
Os usuários do Gmail estão do lado errado de um esquema sofisticado que se aproveita da confiança equivocada por meio do uso de notificações maliciosas e não solicitadas do Agenda.
O Google Agenda permite que qualquer pessoa agende uma reunião com você, e o Gmail foi desenvolvido para se integrar perfeitamente a essa funcionalidade de calendário. Combine esses dois fatores, e os usuários estarão em uma situação vulnerável aos hackers. Para piorar, as pessoas clicam em links desconhecidos sem pensar no perigo disso.
Quando um convite da agenda é enviado a um usuário, uma notificação pop-up é exibida no smartphone. Os invasores criam suas mensagens com um link danoso, aproveitando a confiança dos usuários com as quais as notificações da agenda contam. Esses links podem levar a uma pesquisa ou questionário online falsos, prometendo um incentivo financeiro pela participação e pelos quais os detalhes da conta bancária ou do cartão de crédito podem ser coletados.
Não dá para classificar esse ataque apenas como spam, como o Google quer fazer, mas sim como phishing (técnica de invasão e roubo de informações com iscas e conteúdos falsos). “Além do phishing, esse ataque abre as portas para uma série de ataques de engenharia social”, diz Javvad Malik, advogado de conscientização de segurança da KnowBe4. Malik me disse que, para ter acesso a um prédio, por exemplo, um invasor poderia usar um convite para uma entrevista ou um compromisso de manutenção do prédio que, ele alertou, “poderia permitir acesso presencial a áreas seguras”.
A confirmação
Agora, ao que parece, o Google finalmente decidiu levar essa metodologia de ameaças um pouco mais a sério. Na semana passada, em uma postagem no fórum da Comunidade de Ajuda do Google Agenda, Lesley Pace, uma funcionária da companhia, declarou: “Estamos cientes do spam que ocorre no Google Agenda e estamos trabalhando de forma zelosa para resolver esse problema. Publicaremos atualizações neste tópico, à medida que ficarem disponíveis”.
É preocupante a empresa insistir em dizer que o problema é um tipo de spam, em vez de explicitamente um problema de segurança. Isso mostraria que o Google não apenas confirma que existe um problema, mas também que está comprometido em corrigi-lo.
Essa mesma publicação incluiu um link para “aprender a denunciar e remover spam”, que vale a pena ler, pois contém conselhos práticos para todos os usuários do Google Agenda preocupados em serem pegos por esse ataque específico.
Abra as configurações do Agenda e altere “adicionar convites automaticamente” para “mostrar apenas convites que respondi”. Os usuários também são aconselhados a remover a função de adiar automaticamente eventos do Gmail, configurando a opção “Eventos do Gmail” e desmarcar a opção “adicionar automaticamente”.
Facebook
Twitter
Instagram
YouTube
LinkedIn
Tenha também a Forbes no Google Notícias.