O Google alertou seus usuários para tomarem cuidado com e-mails de contatos pedindo que eles cliquem em um link para o Google Docs, depois que um grande número de pessoas reclamou que suas contas foram invadidas.
O Google disse na quarta-feira que tomou medidas para proteger os usuários dos ataques, desativando contas ofensivas e removendo páginas maliciosas.
O ataque usou uma abordagem relativamente nova para phishing - uma técnica de hacking projetada para induzir os usuários a fornecer informações confidenciais - obtendo acesso às contas dos usuários sem a necessidade de obter suas senhas.
Eles fizeram isso fazendo com que um usuário já logado concedesse acesso a um aplicativo malicioso se passando por Google Docs.
'Este é o futuro do phishing', disse Aaron Higbee, diretor de tecnologia da empresa de segurança cibernética PhishMe. 'Ele leva os invasores ao seu objetivo... sem ter que passar pela dor de colocar malware em um dispositivo.'
Ele disse que os hackers também apontaram alguns usuários para outro site, já retirado do ar, que buscava capturar suas senhas.
O Google disse que sua equipe de abuso 'está trabalhando para evitar que esse tipo de falsificação aconteça novamente'.
Qualquer pessoa que concedeu acesso ao aplicativo malicioso sem saber também deu aos hackers acesso aos dados de sua conta do Google, incluindo e-mails, contatos e documentos on-line, de acordo com especialistas em segurança que revisaram o esquema.
'Esta é uma situação muito séria para quem está infectado porque as vítimas têm suas contas controladas por uma parte maliciosa', disse Justin Cappos, professor de segurança cibernética da NYU Tandon School of Engineering.
Cappos disse que recebeu sete dos e-mails maliciosos em três horas na tarde de quarta-feira, uma indicação de que os hackers estavam usando um sistema automatizado para perpetuar os ataques.
Ele disse que não conhecia o objetivo, mas observou que contas comprometidas podem ser usadas para redefinir senhas de contas bancárias online ou fornecer acesso a dados financeiros e pessoais confidenciais.
Mais LidosNão perca
