A empresa de cibersegurança Avanan divulgou um relatório que mostra que hackers estão se aproveitando dos recursos do Google Docs para enviar conteúdos maliciosos a potenciais vítimas sem a necessidade de se preocuparem com filtros de spam e ferramentas de segurança.
Em um dos ataques identificados em dezembro, os cibercriminosos utilizaram os comentários do Google Docs e Google Slides para atingir usuários do Outlook. A estratégia adotada é relativamente simples, conforme detalham os pesquisadores da Avanan.
Os hackers adicionam um comentário a um documento do Google Docs e mencionam a sua potencial vítima com um @. Dessa forma, a pessoa receberá um e-mail que é enviado automaticamente em nome do Google. A mensagem exibe o comentário completo, incluindo qualquer link malicioso anexado a ele.
Uma das principais vantagens dessa técnica é que o endereço de e-mail do responsável pelo ataque não é exibido, apenas o seu nome. Isso torna extremamente fácil para os criminosos se passarem por outra pessoa, como algum colega de trabalho da vítima, convencendo-a de que se trata de algo legítimo.
A técnica não é exatamente nova, sendo que o próprio Google está ciente dela e já tentou combatê-la em 2020. No entanto, os testes recentes realizados por pesquisadores da Avanan revelam que ainda é possível se aproveitar desses mecanismos das ferramentas de produtividade do Google para infectar dispositivos.
Driblando mecanismos de segurança
Os pesquisadores da Avanan identificaram que as principais vítimas desse ataque hacker eram usuários do Outlook. No total, os conteúdos maliciosos foram enviados a mais de 500 caixas de e-mail a partir de mais de 100 contas Gmail diferentes.
O fato de o e-mail com as informações sobre o comentário vir diretamente do Google faz com que as ferramentas de segurança não identifiquem isso como uma ameaça. Além de estar na lista de permissões dos usuários, as pessoas tendem a confiar em conteúdos enviados em nome da empresa.
Os recursos anti-spam também não são suficientes para combater esse tipo de ataque, já que a mensagem não está atrelada ao endereço de e-mail dos hackers. Assim, ao visualizar apenas o nome de quem escreveu o comentário, a vítima não consegue distinguir imediatamente se está sendo alvo de phishing ou não.
Outra característica que facilita o ataque é que os e-mails exibem o conteúdo completo do comentário, seja textos ou links. Assim, não é necessário acessar o documento. Além disso, não é preciso compartilhar o arquivo, já que uma simples menção utilizando o @ é suficiente para que a mensagem seja enviada automaticamente em nome do Google.
Como prevenir ataques
Apesar de adotar métodos diferentes, esse tipo de ataque ainda se trata de um caso típico de phishing. O objetivo é enviar conteúdos maliciosos disfarçados de mensagens legítimas para convencer potenciais vítimas a realizarem alguma ação, como clicar em um link ou fornecer informações sensíveis.
Portanto, a recomendação da Avanan é a mesma fornecida para qualquer caso de phishing: nunca clicar em qualquer link antes de verificar diversas vezes e garantir que o e-mail realmente se refere a um documento criado por alguém de confiança.
Não importa qual seja o remetente, é preciso estar constantemente alerta a links contidos em e-mails, visto que mesmo no caso de endereços legítimos, ainda existe a possibilidade de a conta ter sido comprometida.