Você deve ter visto nos últimos dias as recentes notícias sobre o ataque phishing ao Google Docs. Caso esteja trabalhando em alguma publicação ou atualização sobre o assunto, Chester Wisniewski, principal cientista de pesquisa da Sophos, fabricante de soluções de segurança para rede e endpoint, preparou alguns pontos que podem te ajudar.
“Apesar de parecer, à primeira vista, um ataque de phishing, o acontecimento se trata de uma violação de APIs do Google porque os e-mails vêm do Google e o usuário está fazendo login em uma página autêntica do Google. Os sistemas abertos que permitem a qualquer pessoa se inscrever e entrar como um desenvolvedor usando OAuth – um protocolo de contas no Google, Twitter, Facebook e outros serviços para conectar com aplicativos de terceiros – têm sido, há muito tempo, vulneráveis à ataques. Esse caso não é diferente da violação com malware na Play Store do Google e, por isso, é dever do Google intensificar o trabalho de segurança para examinar os desenvolvedores de apps.
Na verdade, poucas pessoas suspeitam dos serviços prestados pelo Google, Twitter, Facebook e outros serviços online que utilizam OAuth com um programa de desenvolvedor de aplicativos não confiável. Os usuários do Twitter foram atacados por meio dessas técnicas há alguns anos. Infelizmente, o Google também foi vítima de um vetor de ataque semelhante. Quando os usuários se deparam com e-mails oficiais do Google e páginas de login oficial utilizadas em fraudes, os usuários podem ser potencialmente prejudicados. Todos os provedores de OAuth são responsáveis por policiar o uso de suas plataformas para impedir que os usuários sejam enganados por solicitações oficiais de serviços como o Google, Twitter e Facebook. Nós sugerimos fortemente que os usuários fiquem de olho nas redes sociais, que podem alertar os demais usuários em casos confirmados de novas tentativas de ataques e violações e reduzir o número de vítimas.
Vale lembrar que os usuários devem verificar os aplicativos que aprovaram para acessar suas contas e remover tudo o que possa ser suspeito em todas as plataformas baseadas no OAuth. O caminho para verificar os aplicativos no Google é: Conta do Google -> Login e Segurança -> Aplicativos e sites conectados. No Twitter e Facebook o usuário deve ir em Configurações e Privacidade -> Aplicativos.
Entenda como este tipo de ataque funcionou:
- Você recebe um e-mail real do Google dizendo que alguém quer compartilhar um arquivo com você.
- Você é direcionado para uma página autêntica de login do Google e faz o login.
- Você recebe um aviso de que um "add on" quer acesso ao seu e-mail e contatos. O nome do desenvolvedor está listado como "Google Docs", mas poderia ser qualquer coisa (este é o local onde o Google poderia fazer mais para evitar isso).
A única maneira confiável de não se tornar mais uma vítima é nunca aceitar aplicativos conectados à sua conta do Google e que solicitem permissão para acessar o seu e-mail e contatos, ou qualquer outra solicitação de acesso, a menos que você realmente queira conectar com algum novo serviço ainda não confiável. Quando ataques como esse acontecem, vale reforçar a mensagem de retornar e analisar suas contas nas redes sociais e rever os aplicativos que você deu permissão para acessar suas informações e revogar a permissão de aplicativos que você não confia ou não utiliza mais.