Novo ataque ao Gmail preocupa utilizadores: phishing sofisticado contorna autenticação e expõe contas
A Google confirmou a existência de um novo esquema de phishing altamente sofisticado que está a comprometer contas Gmail, mesmo com autenticação de dois fatores ativada. A falha afeta utilizadores em todo o mundo e já levou a empresa a recomendar mudanças urgentes nas definições de segurança.
O alerta surgiu após Nick Johnson, um programador ligado ao sector das criptomoedas, relatar ter sido alvo de um ataque particularmente elaborado. Segundo o próprio, o esquema explora uma vulnerabilidade na infraestrutura da Google e consegue iludir até utilizadores experientes.
O método utilizado finge tratar-se de uma comunicação legítima da Google, levando os utilizadores a clicar num link que os redireciona para uma página falsa de login. Ao introduzirem os dados, as contas ficam automaticamente comprometidas.
Apesar da encriptação ponto-a-ponto normalmente utilizada no Gmail, os atacantes conseguem contornar a proteção se uma das mensagens for denunciada — o que permite à Google aceder a conversas recentes, e ao esquema passar despercebido até ser tarde demais.
A autenticação de dois fatores por SMS, embora amplamente usada, já não é considerada segura neste contexto, uma vez que pode ser facilmente ultrapassada.
Face a esta situação, a Google recomenda a utilização de chaves de acesso — um sistema que associa a conta a um dispositivo físico, como um telemóvel ou computador, dificultando o acesso não autorizado. A empresa alerta ainda que os ataques estão a tornar-se mais eficazes com o apoio da inteligência artificial.
Para aumentar a segurança, a Google deixa cinco recomendações essenciais:
- Activar as chaves de acesso na conta Google;
- Não clicar em links suspeitos, mesmo que aparentem ser da Google;
- Evitar usar 2FA por SMS — preferir aplicações ou chaves físicas;
- Ignorar alertas de segurança que não sejam iniciados pelo utilizador;
- Analisar com calma qualquer e-mail alarmista ou com carácter urgente.