Usuários do Google foram alvo de um ataque extremamente inteligente nesta quarta-feira, 3. As vítimas recebiam e-mails de pessoas conhecidas informando que um documento havia sido compartilhado no Google Docs. Tratava-se, na verdade, de um spam que permitia tomar o controle do endereço de e-mail do usuário.
A mensagem pedia que eles realizem uma alteração em algum documento do Google Docs. O problema é que ao clicar no botão destacado no e-mail, o usuário era direcionado para um aplicativo falso, nomeado inteligentemente de “Google Docs”; o usuário, então, era orientado a fazer login com sua conta do Google.
A página de login do Google era real, mas o aplicativo não. Ele pedia duas permissões que eram fundamentais para que o golpe pudesse se espalhar de forma extremamente rápida pela internet. Ao concordar, o usuário permitia que o app enviasse e-mails pela sua conta e gerenciasse seus contatos. Ou seja: o aplicativo podia conferir sua lista de amigos e enviar uma mensagem para cada um deles.
Talvez o mais impressionante dessa história seja o fato de que o Google permitiu que um aplicativo web usasse sua tela de login enquanto se chamava de “Google Docs”. Em nota ao The Verge, a empresa informou que a vulnerabilidade usada pelos golpistas para viabilizar o ataque já foi fechada.
Se, por um acaso, você foi um dos usuários que caiu nessa, uma boa ideia é verificar quais aplicativos têm acesso à sua conta do Google. Você pode conferir a lista de aplicativos com acesso a algum dado seu na página de verificação de segurança da sua conta. Você pode acessá-la facilmente neste link.