{"id":23806,"date":"2025-05-30T10:12:32","date_gmt":"2025-05-30T13:12:32","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=23806"},"modified":"2025-05-30T10:12:32","modified_gmt":"2025-05-30T13:12:32","slug":"dkim-replay-attack-through-google-oauth","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/dkim-replay-attack-through-google-oauth\/23806\/","title":{"rendered":"E-mail do Google: as autoridades policiais est\u00e3o analisando sua conta"},"content":{"rendered":"

Imagine receber um e-mail informando que o Google recebeu uma intima\u00e7\u00e3o para fornecer o conte\u00fado de sua conta. O e-mail tem a apar\u00eancia exata \u00e0 do Google, e o endere\u00e7o do remetente tamb\u00e9m parece verdadeiro: no-reply@accounts.google.com<\/em><\/strong>. No m\u00ednimo, um pouco assustador (ou talvez apavorante?), certo?<\/p>\n

E que sorte! O e-mail cont\u00e9m um link para uma p\u00e1gina de suporte do Google que tem todas as informa\u00e7\u00f5es sobre o que est\u00e1 acontecendo. O nome de dom\u00ednio no link tamb\u00e9m parece verdadeiro e parece pertencer ao Google\u2026<\/p>\n

Os leitores regulares do nosso blog provavelmente j\u00e1 adivinharam que estamos falando de um novo esquema de phishing<\/a>. E eles t\u00eam raz\u00e3o. Desta vez, os golpistas est\u00e3o se aproveitando de v\u00e1rios servi\u00e7os verdadeiros do Google para enganar suas v\u00edtimas e fazer com que os e-mails pare\u00e7am o mais convincentes poss\u00edvel. Veja como funciona\u2026<\/p>\n

Como o e-mail de phishing imita uma notifica\u00e7\u00e3o oficial do Google<\/h2>\n

A captura de tela abaixo mostra o e-mail que inicia o ataque. E ele realmente consegue fingir ser um alerta do sistema de seguran\u00e7a do Google. A mensagem informa ao usu\u00e1rio que a empresa recebeu uma intima\u00e7\u00e3o solicitando acesso aos dados em sua conta do Google.<\/p>\n

\"E-mail<\/a>

E-mail fraudulento de no-reply@accounts.google.com, disfar\u00e7ado de intima\u00e7\u00e3o enviada \u00e0 Google LLC pelas autoridades, exigindo que o Google produza uma c\u00f3pia do conte\u00fado da conta do Google do usu\u00e1rio.Fonte<\/a><\/p><\/div>\n

O campo \u201cde<\/strong>\u201d cont\u00e9m um endere\u00e7o verdadeiro do Google: no-reply@accounts.google.com<\/em><\/strong>. Este \u00e9 exatamente o mesmo endere\u00e7o de onde v\u00eam as notifica\u00e7\u00f5es de seguran\u00e7a do Google. O e-mail tamb\u00e9m cont\u00e9m alguns detalhes que refor\u00e7am a ilus\u00e3o de autenticidade: um ID da Conta do Google, um n\u00famero de ticket de suporte e um link para o caso. E, mais importante, o e-mail informa ao destinat\u00e1rio que, se ele quiser saber mais sobre os materiais do caso ou contestar a intima\u00e7\u00e3o, poder\u00e1 fazer isso clicando em um link.<\/p>\n

O link em si tamb\u00e9m parece bastante plaus\u00edvel. O endere\u00e7o inclui o dom\u00ednio oficial do Google e o n\u00famero do ticket de suporte mencionado acima. E \u00e9 preciso ser um usu\u00e1rio experiente para identificar o problema: as p\u00e1ginas de suporte do Google est\u00e3o localizadas em support.google.com<\/em><\/strong>, mas esse link leva a sites.google.com<\/em><\/strong>. Os golpistas est\u00e3o, \u00e9 claro, contando com usu\u00e1rios que n\u00e3o entendem esses detalhes t\u00e9cnicos ou n\u00e3o percebem a substitui\u00e7\u00e3o da palavra.<\/p>\n

Se o usu\u00e1rio n\u00e3o estiver conectado, clicar no link o levar\u00e1 a uma p\u00e1gina de login verdadeira da Conta do Google. Ap\u00f3s a autoriza\u00e7\u00e3o, ele \u00e9 direcionado para uma p\u00e1gina em sites.google.com<\/em><\/strong>, que imita de forma bastante convincente o site de suporte oficial do Google.<\/p>\n

\"P\u00e1gina<\/a>

Esta \u00e9 a apar\u00eancia de uma p\u00e1gina falsa de suporte do Google vinculada ao e-mail. Fonte<\/a><\/p><\/div>\n

Agora, acontece que o dom\u00ednio sites.google.com<\/em><\/strong> pertence ao servi\u00e7o leg\u00edtimo do Google Sites<\/a>. Lan\u00e7ado em 2008, ele \u00e9 um construtor de sites bastante simples. Nada fora do comum. O detalhe importante do Google Sites \u00e9 que todos os sites criados na plataforma s\u00e3o automaticamente hospedados em um subdom\u00ednio google.com<\/em>: sites.google.com<\/em><\/strong>.<\/p>\n

Os invasores podem usar esse endere\u00e7o para diminuir a desconfian\u00e7a das v\u00edtimas e burlar v\u00e1rios sistemas de seguran\u00e7a, pois os usu\u00e1rios e as solu\u00e7\u00f5es de seguran\u00e7a tendem a confiar no dom\u00ednio do Google. N\u00e3o \u00e9 de admirar que os golpistas usem cada vez mais o Google Sites para criar p\u00e1ginas de phishing<\/a>.<\/p>\n

Como detectar e-mails falsos: os detalhes fazem toda a diferen\u00e7a<\/h2>\n

J\u00e1 descrevemos o primeiro sinal de um e-mail suspeito: o endere\u00e7o da p\u00e1gina de suporte falsa localizada em sites.google.com<\/em><\/strong>.<\/em> Consulte o cabe\u00e7alho do e-mail para ver mais sinais de alerta:<\/p>\n

Phishing disfar\u00e7ado de um e-mail oficial do Google: observe os campos \"para\" e \"enviado por\"<\/a>

Identifique o e-mail falso: observe os campos \u201cpara\u201d e \u201cenviado por\u201d no cabe\u00e7alho. Fonte<\/a><\/p><\/div>\n

Os campos a serem observados s\u00e3o \u201cde<\/strong>\u201c, \u201cpara<\/strong>\u201d e \u201cenviado por<\/strong>\u201c. O \u201cde<\/strong>\u201d parece normal: o remetente \u00e9 o e-mail oficial do Google, no-reply@accounts.google.com<\/em><\/strong>.<\/p>\n

Surpreendentemente o campo \u201cpara\u201d<\/strong>, logo abaixo, revela o endere\u00e7o real do destinat\u00e1rio, e este com certeza parece falso: eu[@]googl-mail-smtp-out-198-142-125-38-prod[.]net<\/em><\/strong>. O endere\u00e7o est\u00e1 tentando imitar algum endere\u00e7o t\u00e9cnico do Google, mas o erro de digita\u00e7\u00e3o no nome de dom\u00ednio da empresa \u00e9 um sinal de alerta escancarado. Al\u00e9m disso, ele nem tinha que estar l\u00e1. Esse campo deve conter o e-mail do destinat\u00e1rio.<\/p>\n

Conforme continuamos examinando o cabe\u00e7alho, outro endere\u00e7o suspeito aparece no campo \u201cEnviado por<\/strong>\u201c. Agora, este claramente n\u00e3o tem absolutamente nada a ver com o Google: fwd-04-1.fwd.privateemail[.]com<\/strong>. Mais uma vez, coisas sem sentido como esta n\u00e3o aparecem em e-mails verdadeiros. Para refer\u00eancia, veja como esses campos s\u00e3o em um alerta de seguran\u00e7a real do Google:<\/p>\n

\"Alerta<\/a>

Os campos \u201cpara\u201d e \u201cenviado por\u201d em um alerta de seguran\u00e7a verdadeiro do Google<\/p><\/div>\n

N\u00e3o \u00e9 surpresa nenhuma que esses sinais sutis passassem despercebidos a um usu\u00e1rio comum, principalmente quando ele j\u00e1 fica assustado com o problema legal iminente. O que aumenta a confus\u00e3o \u00e9 o fato de que o e-mail falso \u00e9 realmente assinado pelo Google: o campo \u201cassinado por<\/strong>\u201d exibe accounts.google.com<\/em><\/strong>. Na pr\u00f3xima parte deste post, explicaremos como os criminosos conseguiram isso e, ent\u00e3o, falaremos sobre como evitar se tornar uma v\u00edtima.<\/p>\n

Passo a passo do ataque<\/h2>\n

Para descobrir exatamente como os golpistas conseguiram enviar esse e-mail e o que eles buscavam, os pesquisadores de seguran\u00e7a cibern\u00e9tica reencenaram o ataque<\/a>. A investiga\u00e7\u00e3o revelou que os invasores usaram o Namecheap para registrar o (agora revogado) dom\u00ednio googl-mail-smtp-out-198-142-125-38-prod[.]net<\/em><\/strong>.<\/p>\n

Em seguida, usaram o mesmo servi\u00e7o novamente para configurar uma conta de e-mail gratuita neste dom\u00ednio: eu[@]googl-mail-smtp-out-198-142-125-38-prod[.]net<\/strong>. Al\u00e9m disso, os criminosos registraram uma vers\u00e3o de avalia\u00e7\u00e3o gratuita do Google Workspace no mesmo dom\u00ednio. Depois disso, eles registraram seu pr\u00f3prio aplicativo da web no sistema Google OAuth e concederam acesso \u00e0 conta do Google Workspace.<\/p>\n

O Google OAuth \u00e9 uma tecnologia que permite aplicativos da web de terceiros usem os dados da conta do Google para autenticar usu\u00e1rios<\/a> com a permiss\u00e3o deles. Voc\u00ea provavelmente j\u00e1 usou o Google OAuth como uma forma de autentica\u00e7\u00e3o para servi\u00e7os de terceiros: \u00e9 o sistema que voc\u00ea usa sempre que clica em um bot\u00e3o de \u201cFazer login com o Google\u201d. Al\u00e9m disso, os aplicativos podem usar o Google OAuth para obter permiss\u00e3o para, por exemplo, salvar arquivos em seu Google Drive.<\/p>\n

Mas voltemos aos nossos golpistas. Depois que um aplicativo Google OAuth \u00e9 registrado, o servi\u00e7o permite o envio de uma notifica\u00e7\u00e3o para o endere\u00e7o de e-mail associado ao dom\u00ednio verificado. Curiosamente, o administrador do aplicativo da web pode inserir manualmente qualquer texto como o \u201cNome do aplicativo\u201d, e parece que foi disso que os criminosos se aproveitaram.<\/p>\n

Na captura de tela abaixo, os pesquisadores demonstram isso registrando um aplicativo com o nome \u201cQualquer texto de e-mail de phishing Injetar aqui com URLs de phishing\u2026\u201d.<\/p>\n

\"O<\/a>

Registrar um aplicativo da web com um nome arbitr\u00e1rio no Google OAuth: o texto de um e-mail de fraude com um link de phishing pode ser inserido como um nome.Fonte<\/a><\/p><\/div>\n

O Google ent\u00e3o envia um alerta de seguran\u00e7a contendo esse texto de phishing de seu endere\u00e7o oficial. Esse e-mail vai para o endere\u00e7o de e-mail dos golpistas no dom\u00ednio registrado atrav\u00e9s do Namecheap. Esse servi\u00e7o permite encaminhar a notifica\u00e7\u00e3o recebida do Google para qualquer endere\u00e7o. Tudo o que eles precisam fazer \u00e9 definir uma regra de encaminhamento espec\u00edfica e especificar os endere\u00e7os de e-mail das poss\u00edveis v\u00edtimas.<\/p>\n

\"Como<\/a>

Configurar uma regra de encaminhamento que permite enviar o e-mail falso para v\u00e1rios destinat\u00e1rios.Fonte<\/a><\/p><\/div>\n

Como se proteger de ataques de phishing como esse<\/h2>\n

Ainda n\u00e3o est\u00e1 totalmente claro o que os invasores esperavam conseguir com essa campanha de phishing. Usar o Google OAuth para autenticar n\u00e3o significa que as credenciais da Conta do Google da v\u00edtima sejam compartilhadas com os golpistas. O processo gera um token que fornece acesso limitado aos dados da conta do usu\u00e1rio, dependendo das permiss\u00f5es que o usu\u00e1rio concedeu e das configura\u00e7\u00f5es definidas pelos golpistas.<\/p>\n

A p\u00e1gina falsa de Suporte do Google em que o usu\u00e1rio enganado chega sugeriu que o objetivo era convenc\u00ea-lo a baixar alguns \u201cdocumentos jur\u00eddicos\u201d supostamente relacionados ao caso. A natureza desses documentos \u00e9 desconhecida, mas \u00e9 prov\u00e1vel que eles contenham c\u00f3digo malicioso.<\/p>\n

Os pesquisadores denunciaram essa campanha de phishing ao Google. A empresa reconheceu isso como um risco potencial<\/a> para os usu\u00e1rios e est\u00e1 trabalhando em uma corre\u00e7\u00e3o para a vulnerabilidade do OAuth. No entanto, ainda n\u00e3o se sabe quanto tempo o problema levar\u00e1 para ser resolvido.<\/p>\n

Enquanto isso, aqui est\u00e3o alguns conselhos para ajudar voc\u00ea a evitar se tornar uma v\u00edtima desse e de outros esquemas de phishing complexos.<\/p>\n