O último aviso do Google não se baseia numa falha de software. Depende de pessoas, processos e uma teia de serviços ligados entre si. À medida que os criminosos passam de explorar código para engenharia social, o Gmail tornou-se o centro da sua estratégia.
O que desencadeou o novo aviso
Em junho de 2025, os atacantes não criaram malware sofisticado. Pegaram no telefone. Uma chamada de vishing direcionada enganou um colaborador da Google e abriu caminho para um ambiente Salesforce usado para gerir leads do Google Ads. A partir daí, os criminosos extrairam contactos, notas e identificadores de negócios. Não acederam ao Google Ads em si, mas saíram com informação suficiente para lançar esquemas convincentes em grande escala.
Junho de 2025: uma chamada de vishing resultou em acesso a uma instância Salesforce ligada a leads do Google Ads. Foram exfiltrados dados de contacto, não sistemas do Ads. A consequência é phishing mais eficaz, não exploits de código vistosos.
Esta tática não é isolada. Equipas de segurança detetaram uma vaga de ataques em 2025 contra clientes Salesforce de dezenas de grandes marcas. Os nomes associados a estas campanhas incluem Scattered Spider e ShinyHunters. O seu método é simples: usar a confiança e não a força. A Salesforce permite apps ligadas e integrações abrangentes. Sem monitorização rigorosa e políticas restritivas, estes caminhos tornam-se corredores discretos de extração de dados.
Porque é que o Salesforce importa numa história sobre o Gmail
Comerciais armazenam nomes, funções, números de telefone, notas, ciclos de compra, pistas de orçamento. Para um burlão, isto é combustível. Com estes dados, uma chamada ou email parece legítimo. Um falso técnico do “suporte Google” pode referir-se ao produto certo, à campanha certa, ao jargão interno certo. As pessoas respondem. Tokens são entregues. Basta um utilizador falhar e todo o domínio começa a vacilar.
Porque é que a sua password do Gmail é o último muro
Grupos identificados como UNC6040 e The Com foram mais longe, abusando do workflow Data Loader do Salesforce. Guiam os alvos a instalar uma aplicação adulterada, recolhem tokens OAuth e contornam a autenticação dois fatores via SMS. Uma vez dentro de uma conta Gmail, os ladrões avançam para o Drive, Docs e Meet. Vasculham as caixas de entrada por facturas, relações com fornecedores e conversas internas para forjar compromissos de email empresarial. Cada caixa de correio comprometida dá-lhes novos alvos e pretextos mais credíveis.
Tokens OAuth roubados permitem que um atacante aja como você sem pedir novamente o seu código. Isso anula o 2FA por SMS e transforma o Gmail numa plataforma de movimentos laterais.
A reutilização de palavras-passe agrava o problema. Muitas pessoas reciclam a mesma em vários sites. Os atacantes testam todos os pares onde conseguirem. Se códigos SMS protegem a conta, um burlão habilidoso pode ainda assim convencer o utilizador a partilhar um código único “para verificar a titularidade”.
De uma caixa de entrada para toda a rede
Assim que cai uma conta Gmail, os criminosos redigem mensagens internas a partir de um endereço legítimo. Partilham documentos infectados. Pedem novos pagamentos. Solicitam redefinições de VPN. Ferramentas em que as pessoas confiam—links do Drive, convites de calendário, pré-visualizações incorporadas—tornam-se isco. Quanto mais conectado for o espaço de trabalho, maior o impacto.
Faça isto agora: bloqueio em cinco minutos
- Altere hoje a sua password do Gmail. Use pelo menos 14 caracteres, única para o Gmail. Um gestor de palavras-passe pode criá-la e guardá-la.
- Troque os códigos SMS por uma app autenticadora ou chaves de acesso. Remova o 2FA apenas por número de telefone da sua conta.
- Revise o acesso de terceiros. Nas definições da Conta Google, verifique “Segurança” e revogue apps que não reconheça ou já não utilize.
- Consulte a atividade de segurança recente. Procure novos dispositivos, localizações e alertas de login. Remova sessões desconhecidas.
- Reforce as opções de recuperação. Substitua números antigos, defina um email de backup que controle e adicione uma chave de hardware ou passkey para emergência.
As chaves de acesso são melhores que palavras-passe porque a sua chave privada nunca sai do dispositivo. Sites de phishing não podem reutilizar aquilo que não veem.
Verificações extra se lida com dados da empresa
- Separe trabalho e pessoal. Utilize navegadores ou perfis distintos, cofres de passwords separados e diferentes métodos de recuperação.
- Desative ligações OAuth desnecessárias. Apenas conceda o mínimo de permissões que uma app exige.
- Desligue palavras-passe de aplicações que já não precise. Estas contornam as proteções modernas.
Movimentos de ataque comuns e soluções rápidas
| Tipo de ataque | Onde acontece | Solução rápida |
| Chamadas de “suporte” a pedir códigos | Telefone ou chat | Nunca leia códigos em voz alta. Desligue e volte a ligar pelo canal oficial. |
| Pedido para instalar uma “ferramenta Google” | Computador | Instale apenas a partir da loja oficial do fornecedor. Bloqueie instaladores desconhecidos. |
| Ecrãs de consentimento OAuth com permissões amplas | Navegador | Leia as permissões. Se pede acesso à caixa de entrada, contactos e Drive, pare, a menos que seja estritamente necessário. |
| Interceção 2FA por SMS ou troca de SIM | Rede móvel | Passe para 2FA baseado em app ou chaves de acesso. Adicione um PIN de troca de SIM na sua operadora. |
O que as empresas devem reforçar nos bastidores
As organizações devem tratar Salesforce, Google Workspace e apps integradas como um só domínio de risco. Limite permissões OAuth por defeito, imponha listas de IPs aprovados para acesso admin e API, e exija chaves de acesso validadas por hardware para funções privilegiadas. Ative registos de eventos que captem concessões de tokens e exportações de dados. Se usa Salesforce, ative funcionalidades de monitorização, restrinja apps ligadas e bloqueie o acesso do Data Loader apenas a máquinas controladas.
Adote um manual de resposta a vishing. Quando um colaborador recebe uma chamada de “suporte”, deve desligar, procurar o número oficial e devolver a chamada. As equipas de segurança devem praticar isto com exercícios reais. O objetivo é criar rotina, não culpar. Associe a isto funções com privilégios mínimos, revisões regulares de tokens e alertas automáticos para downloads ou concessões de permissões em massa.
Porque é que a Google está a apostar em chaves de acesso agora
As passwords vazam. As pessoas reutilizam-nas. Páginas de phishing conseguem imitar qualquer marca. As chaves de acesso mudam as regras do jogo. O seu dispositivo comprova a posse através de um desafio criptográfico. A parte privada fica sempre no seu telemóvel ou chave física. Os atacantes não o conseguem enganar para a introduzir numa página falsa. Mesmo que gravem o seu ecrã, não conseguem reproduzir o aperto de mão da chave noutro equipamento.
Pode ativar chaves de acesso na sua Conta Google em “Segurança” e “Chaves de acesso”. Use biometria do seu telemóvel ou uma chave física tipo token FIDO2. Tenha pelo menos dois autenticadores registados para ter um backup caso perca um deles. Reveja os caminhos de recuperação e remova qualquer opção que não gostaria que um atacante explorasse.
Sinais de que o seu Gmail pode estar a ser alvo
- Chamadas ou chats não solicitados a alegar ser do “Google Ads” ou “suporte Google”, referindo campanhas ou dados da sua empresa.
- Pedidos repetidos de 2FA que não iniciou. Pode ser “fadiga MFA” para o levar, por engano, a aprovar o acesso.
- Novas apps OAuth a aparecer na sua conta sem motivo claro de negócio.
- Partilhas inesperadas do Drive ou convites de calendário de pessoas que conhece, mas com horários ou contextos estranhos.
Se algo parecer apressado, pare. Os atacantes dependem da urgência. Equipas de suporte reais sabem esperar enquanto confirma por um canal de confiança.
Dicas práticas para reforçar a sua segurança
Considere uma estratégia de passwords em camadas. Coloque email, armazenamento na nuvem, banca e consolas admin num “balde de não reutilização, 20+ caracteres, preferência por chaves de acesso”. Mantenha o resto num gestor, com entradas únicas e aleatórias. Assim reduz brutalmente a probabilidade de um deslize comprometer a sua vida digital.
Simule um phishing em casa ou no trabalho. Crie um falso ecrã de consentimento e veja quem clica, depois treine os sinais de alerta: permissões amplas, fornecedor desconhecido e pedidos de “manter acesso mesmo sem estar a usar a app”. Essa única caixa muitas vezes concede tokens de longa duração, que são ouro para atacantes.
Comentários (0)
Ainda não há comentários. Seja o primeiro!
Deixar um comentário