SolarWinds é vendida por US$ 4,4 bilhões

CISA publica sete alertas para sistemas de controle industrial

PayPal é multado por ter exposto dados de clientes em 2022

Arquivo Nacional sofre ataque na página do Prêmio Memórias Reveladas

Fundador do marketplace Silk Road é perdoado de prisão perpétua

TikTok sai do ar no EUA por decisão judicial

[ 161,299 page views, 63,350 usuários nos últimos 30 dias ] - [ 6.113 assinantes na newsletter, taxa de abertura 27% ]
Pesquisar
Risco Iminente

Ataque de phishing faz spoofing do google.com

Criminosos estão usando um ataque sofisticado para enganar usuários com e-mails que parecem vir diretamente do Google. A fraude envolve um truque chamado ataque de repetição DKIM, onde os invasores se aproveitam da forma como o Google autentica e-mails. Com isso, a mensagem falsa passa por todas as verificações de segurança como se fosse legítima, mesmo contendo um link para uma página falsa que coleta credenciais.

Leia também
Plataforma de ML tem falha de RCE com CVSS 9.3
LLMs de código alucinam com bibliotecas e pacotes

O ataque foi identificado por Nick Johnson, desenvolvedor do Ethereum Name Service, que recebeu um alerta de segurança supostamente enviado pelo Google sobre uma intimação judicial. O e-mail parecia legítimo: remetente era “[email protected]“, a mensagem foi autenticada via DKIM, e até apareceu na mesma linha de alertas reais do Google. Mas o link levava a um site hospedado no serviço gratuito sites.google.com, e não em accounts.google.com como seria o correto.

O golpe funciona assim: o invasor registra um domínio e cria um endereço “me@domíniofalso”. Depois, monta um aplicativo OAuth dentro do Google e usa como nome do app toda a mensagem de phishing, inserindo espaços para ocultar partes críticas. Ao dar permissão de acesso a esse app, o Google automaticamente envia um alerta de segurança legítimo para a conta. O invasor então encaminha esse e-mail para suas vítimas. Como o e-mail partiu dos sistemas do Google, ele passa pelas verificações DKIM e parece legítimo, inclusive com o Gmail indicando que foi enviado ao endereço da vítima.

Uma falha nesse processo é que o DKIM só verifica os cabeçalhos e o conteúdo da mensagem, não o envelope do e-mail. Isso permite a manipulação do que é exibido na caixa de entrada. Além disso, ao usar o endereço “me@…”, o Gmail pode apresentar o alerta como se ele tivesse sido direcionado à vítima diretamente.

Esse mesmo tipo de ataque também foi testado contra usuários do PayPal. Os invasores abusaram do recurso de “endereço de presente” para incluir mensagens de phishing em notificações automáticas da plataforma, que foram então repassadas a outros usuários.

Especialistas da EasyDMARC explicaram tecnicamente o funcionamento do ataque e ressaltaram a importância de rever os mecanismos de autenticação de e-mails para evitar abusos como esse. Por enquanto, cabe aos usuários redobrar a atenção com alertas de segurança inesperados, mesmo que aparentemente legítimos.

Posts Patrocinados

Últimas notícias

Assine a nossa Newsletter

Cancelar Inscrição

Assine a nossa Newsletter

Cancelar Inscrição