Independentemente de onde utiliza o Gmail, se através da aplicação no smartphone, na app de e-mail do PC ou serviço via Web, saiba que está vulnerável e que pode ser enganado. Apesar de a Google ter lançado o tal selo azul, que supostamente indica que a mensagem vem de um remetente fidedigno, o sistema tem falhas e estão a ser aproveitadas para roubar os utilizadores.
Bug no Gmail… sim no seu também!
Foi através de um tweet do engenheiro de cibersegurança, Chris Plummer (via Forbes), que o alerta foi lançado. Segundo o que foi partilhado, tudo começa com o sistema de selos de verificação que a Google introduziu no mês passado.
Esta marca foi concebida para verificar mensagens de correio eletrónico supostamente enviados por empresas e organizações legítimas. Um e-mail na sua caixa de entrada do Gmail com uma marca de verificação azul deveria indicar que pode abrir a missiva com segurança, sem se preocupar em ser enganado, alvo de spam ou pirateado.
Contudo, graças a um bug, os burlões podem fazer com que o Gmail verifique o seu falso e-mail, acrescentando a tal marca de verificação azul.
O investigador de segurança descobriu como conseguem os criminosos enganar a Google e acrescentar a marca de verificação azul, fazendo com que esta “verifique” o seu e-mail fraudulento. Plummer apresentou um relatório do erro à Google depois de ter detetado um burlão a enviar um correio verificado fazendo-se passar pela UPS. O e-mail até incluía o icónico ícone do escudo da UPS.
Inicialmente, a Google rejeitou o relatório de Plummer, dizendo que não iria corrigir o erro, uma vez que “este é o comportamento pretendido”. Como Plummer pergunta no seu tweet: “Como é que um criminoso que se faz passar pela @UPS de uma forma tão convincente é ‘intencional’?
There is most certainly a bug in Gmail being exploited by scammers to pull this off, so I submitted a bug which @google lazily closed as “won’t fix – intended behavior”. How is a scammer impersonating @UPS in such a convincing way “intended”. pic.twitter.com/soMq7KraHm
— plum (@chrisplummer) June 1, 2023
Mas a Google rapidamente mudou de opinião e enviou a Plummer o seguinte:
Depois de analisarmos melhor, apercebemo-nos de que isto não parece ser uma vulnerabilidade genérica do SPF. Por isso, reabrimos o caso e a equipa responsável está a analisar melhor o que se passa. Pedimos mais uma vez desculpa pela confusão e compreendemos que a nossa resposta inicial possa ter sido frustrante. Muito obrigado por ter insistido para que analisássemos melhor a situação! Iremos mantê-lo informado sobre a nossa avaliação e o rumo que este problema vai tomar.
Cumprimentos, Equipa de Segurança da Google.
when the going gets tough, the tough get a tweet with 100,000+ views thank you all. pic.twitter.com/tYiOD1zvpQ
— plum (@chrisplummer) June 1, 2023
A Google classificou esta falha como P1, o que significa que se trata de uma correção de prioridade máxima. Mas até que seja corrigida, os utilizadores do Gmail têm de estar atentos a e-mails verificados que não sejam da empresa que afirmam ser.
Como sempre, não clique em nenhum link e certamente não forneça nenhuma informação, como números de identificação, números de cartão de crédito, datas de validade e códigos de segurança.
Se receber o que parece ser um e-mail importante na sua caixa de entrada do Gmail e este for verificado com uma marca de verificação azul, ligue para quem o enviou até conseguir perceber a veracidade. Principalmente se for um e-mail com muita relevância e informação sensível. Tenha em atenção que não deve usar números de telefone que venham nesse e-mail, pois se a mensagem for um engodo, os números de telefone também o serão.
As probabilidades são altas de que pelo menos alguns utilizadores irão perder dinheiro com este esquema, uma vez que há mais de 1,8 mil milhões de utilizadores ativos do Gmail este ano. E há muita gente crédula e sem capacidade crítica.
Possivelmente algumas pessoas vão acreditar na conta que chegou para pagar de energia, comunicações ou até de alguma empresa que irá atualizar o sistema operativo do computador (se não ele vai bloquear).
Vejamos um exemplo de como pode funcionar o esquema
Digamos que recebe um e-mail da UPS com uma marca de verificação azul e que diz que está prestes a receber uma encomenda. A carta pode dizer que a UPS precisa de algumas informações para verificar a sua identidade.
Com a marca de verificação em mente, concorda em responder com algumas informações pessoais que a “UPS” diz precisar para entregar a sua encomenda.
Assim, envia-lhe a data de nascimento, o número de contribuinte e os dados da sua conta bancária e/ou do seu cartão de crédito. Pode imaginar o que alguém com intenções maliciosas pode fazer com toda esta informação?
Atualmente, a maioria das empresas não lhe envia mensagens de texto ou emails com links. A maioria não pedirá nenhuma das informações que mencionámos acima. E mesmo quando a Google exterminar este bug, uma marca de verificação azul não lhe dá carta branca para divulgar informações pessoais que podem custar-lhe o seu dinheiro.
E não tenha dúvidas, os burlões estão uns passos à sua frente. Eles vão agarrar nos dados que foram facilitados, vão entrar na sua conta bancária e esgotar os limites dos cartões de crédito. Portanto, fique atento.