Golpes que exploram o recurso dos “pontos não importam" no Gmail continuam
Os cibercriminosos continuam a aplicar golpes de phishing e de BEC (Business Email Compromise) explorando o fato de que “pontos não importam nos endereços do Gmail”, usando as próprias palavras do Google. Os golpistas tiram vantagem do que deveria ser uma medida de segurança para impedir que outras pessoas usem um endereço de e-mail similar ao seu.
Neste artigo, você vai ler mais sobre:
BEC - Business Email Compromise
Faça o download deste ebook para entender tudo sobre BEC, das características às técnicas mais usadas.
O que é o recurso dos “pontos não importam" no Gmail?
O recurso (ou vulnerabilidade?) dos “pontos não importam” no Gmail é causado porque um endereço de e-mail do Google é único e não pode ter variações correspondentes com pontos.
“Se alguém tentar criar uma conta do Gmail com uma versão com pontos do seu nome de usuário, receberá uma mensagem de erro informando que o nome de usuário já existe. Por exemplo, se o seu endereço for [email protected], ninguém poderá usar o endereço [email protected] ”, explica uma página do Google Help.
Da mesma forma, se alguém enviar uma mensagem para [email protected], a conta que receberá o e-mail será [email protected]. Isto significa: qualquer variação do seu nome de usuário contendo pontos pertence a você.
Como o golpe dos "pontos não importam" funciona
O golpe é usado para diferentes finalidades, desde a criação de novas solicitações de cartão de crédito até a inscrição em serviços on-line.
Em geral, as fraudes envolvendo pontos no Gmail são criadas para permitir um fácil gerenciamento dos golpes, concentrando diferentes ataques e ações em apenas uma conta. É a regra do menor esforço para o maior ganho.
Além disso, os criminosos podem tirar vantagem dos “pontos não importam” de outra maneira, induzindo usuários legítimos do Gmail a fornecerem informações confidenciais, como dados de cartões de crédito.
Como? Exemplo: os fraudadores podem criar uma nova conta em um site usando um endereço do Gmail similar e um cartão de crédito inválido. Quando o erro de pagamento ocorrer, o site enviará um e-mail ao usuário legítimo solicitando a atualização da informação de pagamento. Uma vez atualizada, o cibercriminoso pode acessar as informações da vítima ou usufruir do serviço.
Casos como este já foram publicados na internet. No post “The dots of matter: how to scam Gmail user”, o desenvolvedor Jim Fisher abordou o problema usando a Netflix como exemplo.
Como evitar o golpe
A nossa recomendação em casos como este é sempre estar atento e analisar cuidadosamente o conteúdo dos e-mails que você recebe.
Preste atenção no endereço de e-mail que enviou a mensagem e para quem ela é direcionada, lembrando que existem diferentes técnicas para falsificar os cabeçalhos e o conteúdo de e-mails.