GmailUsuários, atenção! Uma grave vulnerabilidade no download de anexos de arquivos e um novo tipo de golpe de phishing foram descobertos recentemente.
Se você vir "estas palavras" ao baixar anexos, não acredite nelas! Ao clicar nelas, seu sistema será comprometido instantaneamente.
Ontem, enquanto navegava pelas notícias, de repente me deparei com uma manchete bastante sensacional: o Gmail havia descoberto uma vulnerabilidade de segurança que deveria ser motivo de alarme.
Reconheci essas palavras no título imediatamente:"Verificado por meio de verificação do Gmail"Um sinal de alerta soou na minha mente e eu imediatamente quis saber o que estava acontecendo.
Qual é exatamente a vulnerabilidade?
Experimento demonstrativo do pesquisador Ben Ilkashi: ele carregou um arquivo com um vírus conhecido no Google Drive e o enviou por meio de um link. O Gmail ainda exibiu a mensagem "verificação de segurança aprovada".
Para testar a vulnerabilidade, ele carregou deliberadamente um arquivo malicioso que já havia sido identificado como vírus pelo Gmail e que normalmente seria bloqueado pelo sistema no Google Drive, e então o enviou para outras contas por meio de um link do Drive.
Os resultados mostraram que o Gmail não só não bloqueou o e-mail, como também exibiu que o arquivo "passou na verificação de segurança", dando às pessoas a falsa impressão de que não havia problema algum!
⚠️ A falha mais fatal: as mensagens de aviso simplesmente desaparecem do nada!
Segundo relatos, o Gmail normalmente deveria exibir uma mensagem de aviso quando não consegue verificar a segurança de um anexo: "Não foi possível verificar este arquivo. Faça o download por sua conta e risco." No entanto, no último teste, esse aviso crucial desapareceu completamente!
Em outras palavras, assim que os usuários veem a palavra "escaneado", é provável que baixem a guarda. Como resultado, um simples clique para baixar pode levar instantaneamente à infecção por vírus ou até mesmo à intrusão direta por malware.
✅ O Google confirmou oficialmente a existência da vulnerabilidade!
O Google reconheceu publicamente a existência da vulnerabilidade e enfatizou que está trabalhando diligentemente para desenvolver uma correção. A empresa também reiterou que proteger a segurança dos usuários do Google Workspace continua sendo sua principal prioridade.
Normalmente, o Gmail e o Google Drive conseguem bloquear automaticamente a maioria dos arquivos perigosos, incluindo programas executáveis maliciosos.
Este incidente serve como um alerta importante para todos os usuários: mesmo que um e-mail mostre que "passou na verificação de segurança", nunca baixe a guarda! Links do Google Drive de remetentes desconhecidos são especialmente arriscados; nunca clique neles nem baixe anexos. Fazer isso pode não apenas levar ao vazamento de dados da sua conta, mas também tornar seu dispositivo alvo de malware.
Eu mesmo já me assustei com uma ilusão semelhante. Foi no mês passado, quando alguém me enviou um e-mail com o assunto "Relatório do projeto enviado" e um link do Google Drive em anexo.
Vi o ícone verde de confirmação e cliquei para baixar, mas quando abri o arquivo, descobri que era um executável criptografado. O sistema exibiu imediatamente um aviso, mas felizmente eu tinha um antivírus instalado.软件Interceptando-o imediatamente. Naquele instante, percebi verdadeiramente o perigo da "segurança superficial" — um pequeno descuido poderia expor toda a máquina a hackers.
Diante desse novo tipo de ataque, nossa defesa é, na verdade, bastante simples:
- Não clique em links desconhecidos do Google Drive: se o remetente não for um colega ou amigo conhecido, confirme primeiro no chat ou procure o arquivo diretamente no sistema interno da empresa.
- Verifique manualmente as informações do arquivo: Clique com o botão direito do mouse na página do Drive → Detalhes, observe o tamanho do arquivo, a data de criação, o proprietário etc., e preste mais atenção a quaisquer anormalidades.
- Ative a verificação em duas etapas: mesmo que um hacker obtenha a senha da sua conta, será muito difícil para ele acessar sua conta do Google diretamente sem uma segunda camada de verificação.
- Mantenha as configurações de segurança atualizadas: No painel de administração do Google, ative a opção "Proteção avançada contra ameaças para todos os links externos". Isso permitirá que o Google realize uma verificação mais completa, inclusive para links do Drive.
- Verifique regularmente seus registros de segurança: após fazer login na sua conta do Google, abra a página "Verificação de segurança" para visualizar os registros de login recentes e atividades incomuns. Se encontrar algo suspeito, altere sua senha imediatamente.
Outro ponto que vale a pena destacar é que esses tipos de vulnerabilidades costumam ser explorados rapidamente por hackers após serem divulgados, especialmente em ataques de phishing direcionados a usuários corporativos.
Muitas empresas adotaram como procedimento padrão "abrir apenas e-mails internos", mas parceiros externos frequentemente compartilham arquivos via Drive, sendo necessário encontrar um equilíbrio entre "colaboração" e "segurança".
Minha sugestão é: se você precisar aceitar links externos do Google Drive, peça à outra parte que envie os arquivos diretamente como arquivos compactados ou use o sistema interno de transferência de arquivos da empresa para evitar, sempre que possível, links públicos do Google Drive.
Retomando aquele e-mail do início, minha intenção original era compartilhá-lo como um breve estudo de caso, mas acabou se tornando um alerta por si só.
Estou escrevendo isso para que você, seja você um expert em tecnologia ou um funcionário comum de escritório, pare e se pergunte: "Isso é realmente seguro?" quando vir a mensagem "Verificação de segurança aprovada". Se tiver dúvidas, não clique sem pensar.
Por fim, aqui vai um pequeno apelo: verifique todos os links do Drive recebidos recentemente hoje para identificar qualquer coisa incomum. Se encontrar algo suspeito, avise imediatamente o remetente no chat ou relate diretamente à equipe de segurança.
Incorpore esse nível de cautela à sua rotina diária e, com o tempo, a segurança da sua conta, do seu dispositivo e até mesmo dos dados da sua empresa melhorará.
Agora que você leu até aqui, se achou este artigo útil, curta e compartilhe. Para receber mais informações de segurança e dicas técnicas o mais rápido possível, lembre-se de seguir minha conta oficial no WeChat – dê uma olhada ⭐! Obrigado pela leitura e até a próxima!
Hope Chen Weiliang Blog ( https://www.chenweiliang.com/ O artigo "Vulnerabilidade no download de anexos do Gmail? Não clique nestas palavras ou você será completamente hackeado!" compartilhado aqui pode ser útil para você.
Bem-vindo a compartilhar o link deste artigo:https://www.chenweiliang.com/cwl-34155.html