Recentemente, um novo tipo de golpe de phishing chamou a atenção por sua sofisticação. Este golpe explora o OAuth, um padrão aberto que permite que aplicativos e sites se conectem aos serviços do Google sem que os usuários precisem compartilhar suas senhas. A técnica foi detalhada por Nick Johnson, um desenvolvedor que identificou como os atacantes conseguiram enviar e-mails falsos que pareciam legítimos.
Os golpistas criaram um domínio e um endereço de e-mail associados a uma conta do Google. Em seguida, eles criaram um aplicativo OAuth do Google e nomearam-no com o conteúdo completo de um e-mail de phishing, como um alerta de intimação. Quando o acesso ao aplicativo OAuth foi concedido a um endereço de e-mail do Google, a notificação falsa foi enviada, aparentando ser legítima.
Como os golpistas enganam os usuários?
Os e-mails fraudulentos se originam de sites.google.com, mas exibem o endereço [email protected] como remetente, o que aumenta a credibilidade. Essa técnica permite que o e-mail passe pelas verificações de segurança do Google, como a assinatura DKIM, que verifica a legitimidade do remetente. O uso do endereço me@ faz parecer que a mensagem foi enviada diretamente para uma pessoa, em vez de um grupo de vítimas potenciais.
Se a vítima clicar no alerta de segurança falso, ela será direcionada para uma página no sites.google.com, onde os atacantes podem tentar capturar as credenciais de e-mail da vítima. Johnson sugeriu que o próprio Google Sites pode representar um risco de segurança devido à possibilidade de incorporar scripts e conteúdos arbitrários.
Quais outras táticas os golpistas usam com OAuth?
Além do golpe mencionado, outras táticas envolvendo OAuth foram identificadas. Em janeiro, a Truffle Security descobriu que um atacante poderia comprar um domínio de startup desativado e recriar endereços de e-mail de funcionários. Com esses endereços, os golpistas poderiam acessar sistemas de RH e potencialmente descobrir informações financeiras dos funcionários.
Em março, um golpe usou OAuth para criar alertas falsos do PayPal. Os atacantes enviaram mensagens informando sobre um novo endereço de e-mail adicionado à conta do usuário e uma cobrança falsa de 1.000 dólares. Se a vítima entrasse em contato com o número de suporte falso do PayPal incluído no e-mail, ela seria ainda mais envolvida no esquema dos golpistas.
Leia Também
Como proteger-se de golpes de phishing com OAuth?
Para se proteger contra esses golpes, é essencial estar atento a e-mails suspeitos, especialmente aqueles que pedem para clicar em links ou fornecer informações pessoais. Verificar o remetente e o domínio do e-mail pode ajudar a identificar fraudes. Além disso, é importante manter os sistemas de segurança atualizados e usar autenticação de dois fatores sempre que possível.
O Google está ciente dessas vulnerabilidades e está trabalhando em soluções para mitigar esses riscos. Enquanto isso, os usuários devem permanecer vigilantes e informados sobre as táticas de phishing em evolução.
