Na última terça-feira (02), o Google Docs foi alvo de um ataque phishing projetado para enganar usuários do Gmail.

Os e-mails com os ataques, que circularam por cerca de três horas antes de o Google barrá-los, convidava o remetente a abrir o que parecia ser uma extensão para o Google Docs, um convite com uma caixa azul que dizia: “Abra o Docs”.

Na verdade, o link levava a um aplicativo que pedia aos usuários permissão para acessar suas contas do Gmail.

Muitos usuários devem ter sido enganados, uma vez que o aplicativo se apresentava sob o nome “Google Docs”. Também pedia acesso para o Gmail através do serviço de login do Google.

Os hackers conseguiram levar o ataque adiante ao usar o protocolo OAuth, um caminho para contas no Google, Twitter, Facebook e outros serviços para conectar com aplicativos de terceiros.

O protocolo OAuth não transfere nenhuma informação de senha, mas usa tokens de acesso especial que podem abrir a conta.

Entretanto, o OAuth pode ser perigoso nas mãos erradas. Os hackers por trás do ataque de terça-feira parecem ter desenvolvido um app que aproveita dos processos do Google para ganhar acesso às contas.

Explorar o OAuth para ganhar acesso às contas de usuários é particularmente desonesto, uma vez que consegue escapar da necessidade de roubar as credenciais de login de uma pessoa ou mesmo uma verificação de dois passos do Google.

No mês passado, a empresa de segurança Trend Micro disse que um grupo de hackers russos conhecido como Fancy Bear estava usando um ataque de e-mail similar para se aproveitar do protocolo OAuth para fazer vítimas.

Entretanto, especialistas em segurança disseram que o ataque de terça-feira provavelmente não foi do Fancy Bear, um grupo que muitos especialistas suspeitam trabalhar para o governo russo.

“Eu não acredito que eles estejam por trás disso, porque é um ataque muito amplo”, disse Jaime Blasco, da empresa de segurança AlienVault.

Muitos usuários no Twitter, incluindo jornalistas, publicaram prints de telas de emails phishing, especulando que hackers estavam buscando a lista de contatos das vítimas para obter mais usuários.

Felizmente, o Google respondeu rapidamente ao barrar os ataques, depois que um usuário no Reddit publicou sobre eles.

“Nós removemos as páginas fakes, entregamos updates através do Safe Browsing, e nosso time está trabalhando para prevenir esse tipo de ataque aconteça de novo”, informou o Google em comunicado.

Especialistas em segurança e o Google recomendam que os usuários afetados avaliem quais aplicativos de terceiros têm permissão para acessar suas contas e cancelem qualquer acesso suspeito. Usuários conseguem fazer isso ao visitar o endereço ou ainda realizar um check-up de segurança do Google.

É também uma boa ter cuidado ao redor de e-mails que parecem ser suspeitos. Muitas tentativas de hacking incluindo malware, são dadas através de links e anexos enviados por e-mail.

Empresas de segurança também alertam que muitos hackers podem conduzir ataques similares onde abusam do protocolo OAuth, não apenas através do Google, mas do Facebook e LinkedIn.

“Como qualquer outra abordagem nova e criativa, é bem provável que ela seja copiada quase que imediatamente”, disse o grupo de segurança Talos da Cisco em um post publicado no blog. Talos identificou mais de 275 mil aplicações que usam o OAuth e conectam a nuvem.

Enquanto o ataque pode ser novo, os perigos com o OAuth certamente não são. No passado, especialistas em segurança alertaram que usuários podem ter sido enganados com ataque phishing através de manipulação do OAuth para dar permissões a pessoas mal intencionadas.

Em resposta a tais ataques, o Google disse no mês passado que revisa qualquer abuso do OAuth e derruba milhares de apps que violam a política de dados do usuário, incluindo aqueles que se dizem produtos da companhia.

Ataques phishing provavelmente levarão o Google a adotar uma posição ainda mais rigorosa em aplicativos que usam OAuth, disse Robert Graham, CEO da empresa de segurança Errata Security.

Entretanto, a gigante de internet precisa garantir um equilíbrio entre garantir a segurança e promover um ecossistema crescente de apps.

“Quanto mais você veta, mais você barra a inovação”, disse Graham. “É uma troca”.