Uma campanha de phishing recentemente identificada está a explorar a popularidade do Gmail para obter credenciais de utilizadores. O ataque, descoberto pela equipa do malwr-analysis, faz-se passar por uma notificação de correio de voz e tem conseguido iludir não só utilizadores comuns, mas também programadores experientes.
Como o esquema se desenrola
Tudo começa com um e-mail intitulado “New Voice Notification”, enviado a partir de um endereço forjado. Para contornar filtros antispam, os atacantes recorrem à plataforma Microsoft Dynamics, que lhes permite legitimar o remetente aos olhos dos sistemas de segurança.
No corpo da mensagem surge um botão que promete abrir o suposto correio de voz numa página externa. Ao clicar, a vítima é recebida por um CAPTCHA aparentemente legítimo. Esta etapa serve para reforçar a sensação de segurança e reduzir a suspeita de fraude.
Depois de concluir o CAPTCHA, o utilizador é redirecionado para uma página de início de sessão idêntica à do Gmail. O design, as cores e até os elementos de animação replicam o original, tornando a fraude difícil de detetar a olho nu.
Técnicas avançadas de ocultação
O código da página maliciosa está protegido por encriptação AES e inclui rotinas de anti-debugging. Estas medidas impedem análises rápidas e atrasam a identificação do golpe, prolongando o período em que os atacantes conseguem recolher dados.
Quando o utilizador introduz as credenciais, o sistema capta não apenas nomes de utilizador e palavras-passe. Dados adicionais, como endereços de recuperação, códigos de autenticação de dois fatores e respostas a perguntas de segurança, também são armazenados e enviados para servidores controlados pelos criminosos. Com esse conjunto de informações, é possível aceder não só à conta Gmail, mas a qualquer serviço integrado com o endereço Google da vítima.
Medidas de prevenção recomendadas
Para reduzir o risco, especialistas sugerem desconfiar de mensagens que pressionem o utilizador a clicar rapidamente. No caso de alertas de correio de voz, recomenda-se verificar o remetente e, se necessário, aceder à caixa de entrada por meios diretos, sem seguir ligações presentes no e-mail.
Alterar as palavras-passe de forma periódica, ativar autenticação de dois fatores e optar por passkeys — método que recorre a biometria ou PIN — aumentam significativamente a proteção. Também é prudente manter o sistema operativo e o software de segurança atualizados, pois muitas soluções já identificam e bloqueiam domínios associados a campanhas de phishing.
Face à sofisticação crescente destes ataques, a vigilância contínua e a adoção de práticas de segurança robustas continuam a ser as melhores defesas para salvaguardar contas e dados pessoais.
