Golpe de phishing rouba senha do Gmail e SMS de autenticação em duas etapas

Graças a um sofisticado esquema de phishing, invasores descobriram senha e código de autenticação em duas etapas de serviços como Gmail e Yahoo Mail

Emerson Alecrim
• Atualizado há 2 anos e 11 meses
two-step-verification-gmail / Panda Security

Depois de criar uma senha forte, a orientação de segurança mais recorrente nos meios online é a de usar a autenticação em duas etapas, sempre que possível. Mas nada é 100% seguro: recentemente, um grupo de hackers simpatizante ao governo do Irã conseguiu burlar esse tipo de proteção em serviços como Gmail e Yahoo Mail.

A autenticação em duas etapas em si não foi quebrada. O que os invasores fizeram foi executar uma sofisticada campanha de phishing direcionada a políticos, ativistas e jornalistas ligados ao governo dos Estados Unidos e outros países para, assim, acessar as contas de email dessas pessoas.

O primeiro passou consistiu em coletar informações sobre as vítimas para enviar mensagens de alertas com dados suficientes para convencê-las de que aquele aviso era legítimo — quando não passava de uma cilada.

Na maioria das vezes, o email dizia que a conta havia sido acessada por terceiros e perguntava se o usuário reconhecia aquela atividade. Quando a pessoa clicava em “não”, normalmente era levada a uma falsa página de segurança hospedada no Google Sites, no caso de vítimas com conta no Gmail. Como o endereço desse serviço é sites.google.com, parecia que a página era mesmo verdadeira.

Falso alerta no Gmail

Mas não era. O usuário se deparava com uma página de login muito parecida com a do Google, mas falsa. Então, ao informar email e senha, essas informações acabavam sendo enviadas aos invasores. Mas, por conta da autenticação em dois fatores, não havia motivo para preocupação, certo? É aí que está o grande truque.

As falsas mensagens de alerta continham uma imagem oculta que, quando carregada, avisava os hackers de que o email acabara de ser lido. Então eles ficavam de prontidão. Quando as vítimas digitavam os dados de login no site falso, eles imediatamente recebiam essas informações e as inseriam em uma página verdadeira do Gmail ou, dependendo do caso, do Yahoo Mail.

Se um código de autenticação em dois fatores fosse pedido, o usuário era redirecionado a outra página falsa para digitar essa informação. Quase que instantaneamente, os invasores recebiam o código e, com isso, conseguiam ter acesso à conta da vítima.

A Certfa, organização de segurança que investiga incidentes online no Irã, comprovou em sua pesquisa que o truque funcionou com contas protegidas via autenticação em dois fatores que tinham o código enviado por SMS.

Falsa página de autenticação em duas etapas

Falsa página de autenticação em duas etapas

Não houve registro de vítimas entre usuários que obtém o código via aplicativos como o Google Authenticator. Os pesquisadores da Certfa alertam, no entanto, que a cilada também pode funcionar com apps do tipo. A única diferença é que as chances de problemas acabam sendo muito menores aqui, pois os códigos são renovados em intervalos de tempo muito curtos, geralmente na casa dos 30 segundos.

É por isso que a Certfa recomenda que a autenticação em duas etapas via aplicativo seja usada no lugar do SMS. No caso de empresas ou profissionais que lidam com informações altamente sigilosas, a dica é a de reforçar a segurança com chaves físicas U2F/FIDO 2. Com essa proteção, o risco de acesso não autorizado cai enormemente.

Com informações: Ars Technica.

Leia | Como ativar a verificação em duas etapas no Outlook

Relacionados

Escrito por

Emerson Alecrim

Emerson Alecrim

Repórter

Emerson Alecrim cobre tecnologia desde 2001 e entrou para o Tecnoblog em 2013, se especializando na cobertura de temas como hardware, sistemas operacionais e negócios. Formado em ciência da computação, seguiu carreira em comunicação, sempre mantendo a tecnologia como base. Em 2022, foi reconhecido no Prêmio ESET de Segurança em Informação. Em 2023, foi reconhecido no Prêmio Especialistas, em eletroeletrônicos. Participa do Tecnocast, já passou pelo TechTudo e mantém o site Infowester.