Novo ataque ao Gmail: cinco recomendações de segurança da Google

A Google confirmou a existência de um novo esquema de phishing altamente sofisticado que está a comprometer contas Gmail, mesmo com autenticação de dois fatores ativada. A falha afeta utilizadores em todo o mundo e já levou a empresa a recomendar mudanças urgentes nas definições de segurança.

O alerta surgiu após Nick Johnson, um programador ligado ao sector das criptomoedas, relatar ter sido alvo de um ataque particularmente elaborado. Segundo o próprio, o esquema explora uma vulnerabilidade na infraestrutura da Google e consegue iludir até utilizadores experientes.

O método utilizado finge tratar-se de uma comunicação legítima da Google, levando os utilizadores a clicar num link que os redireciona para uma página falsa de login. Ao introduzirem os dados, as contas ficam automaticamente comprometidas.

Apesar da encriptação ponto-a-ponto normalmente utilizada no Gmail, os atacantes conseguem contornar a proteção se uma das mensagens for denunciada — o que permite à Google aceder a conversas recentes, e ao esquema passar despercebido até ser tarde demais.

A autenticação de dois fatores por SMS, embora amplamente usada, já não é considerada segura neste contexto, uma vez que pode ser facilmente ultrapassada.

Face a esta situação, a Google recomenda a utilização de chaves de acesso — um sistema que associa a conta a um dispositivo físico, como um telemóvel ou computador, dificultando o acesso não autorizado. A empresa alerta ainda que os ataques estão a tornar-se mais eficazes com o apoio da inteligência artificial.

Para aumentar a segurança, a Google deixa cinco recomendações essenciais:

• Activar as chaves de acesso na conta Google;
• Não clicar em links suspeitos, mesmo que aparentem ser da Google;
• Evitar usar 2FA por SMS — preferir aplicações ou chaves físicas;
• Ignorar alertas de segurança que não sejam iniciados pelo utilizador;
• Analisar com calma qualquer e-mail alarmista ou com carácter urgente.