- Falha no Gmail e Google Agenda permite o phishing, modo de invasão que usa links falsos para copiar informações dos usuários e coletar dados bancários;
- O perigo foi descoberto em 2017, mas só foi oficializado pelo Google na semana passada;
- Para escapar do problema, usuários podem desabilitar o convite automático no Google Agenda.
Em 2017, dois pesquisadores da Black Hills Information Security revelaram como uma vulnerabilidade no aplicativo Google Agenda expunha mais de um bilhão de usuários ao roubo de credenciais. O Google aparentemente não corrigiu isso naquele momento, pois a ação causaria “grandes inconvenientes de funcionalidade” para os usuários, apesar dos pesquisadores demonstrarem como eles haviam armado a vulnerabilidade no Wild West Hackin ‘Fest.
LEIA MAIS: Google é alvo de nova investigação antitruste nos EUA
Como o ataque funciona no Google Agenda?
Os usuários do Gmail estão do lado errado de um esquema sofisticado que se aproveita da confiança equivocada por meio do uso de notificações maliciosas e não solicitadas do Agenda.
O Google Agenda permite que qualquer pessoa agende uma reunião com você, e o Gmail foi desenvolvido para se integrar perfeitamente a essa funcionalidade de calendário. Combine esses dois fatores, e os usuários estarão em uma situação vulnerável aos hackers. Para piorar, as pessoas clicam em links desconhecidos sem pensar no perigo disso.
Não dá para classificar esse ataque apenas como spam, como o Google quer fazer, mas sim como phishing (técnica de invasão e roubo de informações com iscas e conteúdos falsos). “Além do phishing, esse ataque abre as portas para uma série de ataques de engenharia social”, diz Javvad Malik, advogado de conscientização de segurança da KnowBe4. Malik me disse que, para ter acesso a um prédio, por exemplo, um invasor poderia usar um convite para uma entrevista ou um compromisso de manutenção do prédio que, ele alertou, “poderia permitir acesso presencial a áreas seguras”.
A confirmação
Agora, ao que parece, o Google finalmente decidiu levar essa metodologia de ameaças um pouco mais a sério. Na semana passada, em uma postagem no fórum da Comunidade de Ajuda do Google Agenda, Lesley Pace, uma funcionária da companhia, declarou: “Estamos cientes do spam que ocorre no Google Agenda e estamos trabalhando de forma zelosa para resolver esse problema. Publicaremos atualizações neste tópico, à medida que ficarem disponíveis”.
Essa mesma publicação incluiu um link para “aprender a denunciar e remover spam”, que vale a pena ler, pois contém conselhos práticos para todos os usuários do Google Agenda preocupados em serem pegos por esse ataque específico.
Abra as configurações do Agenda e altere “adicionar convites automaticamente” para “mostrar apenas convites que respondi”. Os usuários também são aconselhados a remover a função de adiar automaticamente eventos do Gmail, configurando a opção “Eventos do Gmail” e desmarcar a opção “adicionar automaticamente”.
Twitter
Instagram
YouTube
LinkedIn
Tenha também a Forbes no Google Notícias.