Cibercriminosos estão explorando uma vulnerabilidade sofisticada nos sistemas do Google para aplicar golpes de phishing que parecem autênticos. Aproveitando o Google OAuth e o sistema de autenticação DKIM (DomainKeys Identified Mail), os golpistas conseguem entregar e-mails fraudulentos que aparentam ser legítimos, inclusive com o selo de verificação do Google, direcionando usuários para páginas que roubam credenciais.
Nova tática de phishing usa falha no Google para enviar e-mails falsos com autenticação DKIM válida
O truque envolve mascarar e-mails com aparência legítima — como se fossem enviados de no-reply@google.com — e hospedá-los em sites.google.com, o que reduz a desconfiança dos destinatários. Embora o remetente real seja diferente, a assinatura DKIM válida engana os filtros de segurança e confere legitimidade à mensagem.
Um golpe quase perfeito
O alerta partiu de Nick Johnson, desenvolvedor do Ethereum Name Service (ENS), que recebeu um e-mail supostamente emitido pelo Google. A mensagem continha um falso aviso de intimação judicial, alegando o pedido de acesso ao conteúdo de sua conta Google. O e-mail, visualmente idêntico aos legítimos, foi categorizado na mesma seção de alertas de segurança reais do Google, o que poderia iludir facilmente usuários menos experientes.
A análise técnica revelou que o link contido no e-mail direcionava para uma página de login falsa, hospedada no sites.google.com, e não no domínio oficial accounts.google.com. Johnson ressaltou que, apesar de parecer autêntico, esse pequeno detalhe era a principal pista do golpe.
Engenharia social combinada com falha técnica
O ataque é mais engenhoso do que aparenta. O fraudador cria um domínio qualquer e uma conta Google com o endereço me@seudominio.com. Em seguida, desenvolve um aplicativo OAuth e insere todo o conteúdo do e-mail de phishing como nome do app. O Google, ao conceder acesso ao app, envia automaticamente um alerta de segurança para a conta do invasor.
Esse e-mail gerado pelo Google — com todo o conteúdo do golpe no corpo — possui uma assinatura DKIM legítima. Depois disso, o golpista simplesmente encaminha a mensagem original para suas vítimas. Como o sistema DKIM verifica apenas o conteúdo e os cabeçalhos do e-mail, e não o envelope, a mensagem passa por todas as autenticações, tornando-se praticamente indetectável pelos sistemas de proteção.
Outro truque foi usar “me” como prefixo no endereço de e-mail, o que faz parecer que a mensagem foi entregue ao próprio destinatário, reforçando ainda mais a ilusão.
Técnica também foi usada contra usuários do PayPal
Essa estratégia não foi exclusiva ao Google. Em março, uma campanha similar foi registrada contra clientes do PayPal. O atacante vinculou um novo endereço à sua conta PayPal utilizando a função de “e-mail presente” e, no campo complementar, inseriu o conteúdo de phishing.
Com isso, o PayPal disparou uma mensagem de confirmação para o endereço do fraudador, que então a redirecionou para possíveis vítimas. Como o e-mail vinha diretamente dos servidores do PayPal e possuía autenticação DKIM, também parecia legítimo.
Google e PayPal foram alertados
Apesar de inicialmente considerar o comportamento como esperado, o Google acabou reconhecendo o problema e informou que está trabalhando para corrigir a brecha envolvendo o OAuth. Já o PayPal, mesmo contatado, não retornou aos questionamentos sobre a falha.
Esse novo tipo de ataque mostra como criminosos estão explorando brechas em serviços amplamente confiáveis para burlar camadas de segurança tradicionais e enganar até usuários experientes. A lição aqui é redobrar a atenção, mesmo diante de mensagens aparentemente válidas e bem autenticadas.