O Golpe de Phishing do Gmail se Espalha Rapidamente para Enganar Você e Conseguir as Credenciais de Login da Sua Conta no Google
Vamos encarar; os hackers não têm piedade quando chega a hora de explorar os usuários de computador por meio de sua ingenuidade ou falta de conhecimento suficiente para evitar se tornar a próxima vítima de roubo de dados e identidade. Acontece que os hackers estão vendendo ativamente uma campanha de phishing bastante massiva e agressiva, que busca as credenciais de login nas contas do Gmail.
Os hackers por trás de uma enorme campanha de phishing do Gmail empregaram sofisticados códigos de recursos de automação em sites que parecem imitar uma página de login do Gmail. A técnica de phishing usada é aquela que está enganando ativamente os usuários da Internet para, sem saber, dar acesso a hackers de suas contas do Gmail.
O ato de phishing, conhecido como um processo em que um site ou página da web é criado para se parecer com um site legítimo, remonta quase à época da Internet. Em esquemas comuns de phishing, um site legítimo é comprometido ou imitado em outra página para enganar os usuários de computador. A técnica de phishing acaba fazendo com que os usuários de computador acreditem que chegaram a uma página legítima na qual precisam inserir suas credenciais de login para acessar sua conta.
No caso do recente ataque de phishing do Gmail, uma página semelhante ao site de login do Gmail é usada para coletar o nome de usuário e a senha de login da conta do Gmail do usuário do computador, que fornece ao hacker acesso não adulterado a uma conta do Google. Como você deve saber, uma conta do Google pode consistir em muitas informações, não apenas nos emails da caixa de entrada do Gmail de um usuário. Estamos falando de ter acesso ao calendário de um usuário, acesso à loja do Google Play, fotos pessoais e até arquivos armazenados no Google Drive.
Os usuários do Gmail estão sendo enganados à esquerda e à direita com o novo esquema de phishing. Tudo começa com os usuários recebendo uma mensagem de spam, uma que contém informações aparentemente inocentes, mas é suficiente para atrair a curiosidade de alguns usuários de computador para abrir a mensagem. A mensagem de spam inclui um anexo que se disfarça como um arquivo PDF, que também é percebido por usuários inocentes como um arquivo inofensivo. Quando um usuário de computador clica no arquivo PDF, ele executa um malware sofisticado que redireciona o navegador da web do usuário para uma página de login falsa do Google, com o pretexto de que o login concederá acesso para abrir o anexo da imagem.
Como você pode imaginar, a inserção de credenciais de login na página de login falsa do Google enviará o nome de usuário e a senha aos hackers, onde eles poderão usá-lo posteriormente para acessar as contas do Google do usuário.
Um dos aspectos mais surpreendentes do recente ataque de phishing do Google e do Gmail é que as páginas de phishing não parecem disparar o aviso de segurança HTTPS do Google. O aviso de segurança do Google HTTPS foi projetado para alertar os usuários quando eles acessarem uma página da web insegura ou uma que foi identificada no passado como maliciosa.
Não apenas os hackers aumentaram a aposta em suas técnicas de phishing, mas muitos pesquisadores de segurança de computadores dizem que o recente ataque de phishing do Gmail está entre os mais sofisticados do tipo. Para adicionar insulto à lesão, o ataque está se espalhando rapidamente, vasculhando as mensagens enviadas na pasta "email enviado" dos usuários vitimados do Gmail apenas para enviar o email mal-intencionado a todos os contatos que descobrir na conta. Ao enviar mensagens para contatos conhecidos, o destinatário confia naturalmente no remetente e fica mais inclinado a abrir o anexo malicioso, que até agora está enganando muitos usuários experientes.
O Google está ciente do ataque de phishing e está investigando o assunto. Como resposta inicial ao ataque de phishing, um porta-voz do Google disse: "Ajudamos a proteger os usuários contra ataques de phishing de várias maneiras, incluindo: detecção baseada em aprendizado de máquina de mensagens de phishing, avisos de Navegação segura que notificam os usuários sobre links perigosos em e-mails e navegadores, evitando logins suspeitos da conta e muito mais. Os usuários também podem ativar a verificação em duas etapas para proteção adicional da conta".