Criminosos cibernéticos estão explorando uma técnica sofisticada para enviar e-mails falsos usando a infraestrutura do Google, visando roubar credenciais dos usuários. O golpe começa com o envio de uma mensagem legítima, assinada com DKIM, de “[email protected]“, que passa pelas verificações de segurança e aparece como confiável no Gmail.

A mensagem alega ser uma intimação legal e direciona a vítima para um link no domínio sites.google.com. A página imita o suporte oficial do Google e oferece opções para “visualizar o caso” ou “enviar documentos adicionais”. Ambas redirecionam a vítima a uma réplica da página de login do Google, hospedada no próprio Sites, que permite scripts personalizados – facilitando o roubo de credenciais. O truque está em um ataque chamado “replay de DKIM”. Os atacantes criam uma conta Google e um app OAuth com o conteúdo da mensagem, que gera um alerta de segurança real do Google.

Esse e-mail, assinado validamente, é então reenviado de uma conta Outlook mantendo a assinatura DKIM, o que permite que ele passe por filtros de segurança sem levantar suspeitas. O Google afirmou ter implementado medidas para bloquear essa brecha e reforça que nunca solicita senhas ou códigos diretamente. Especialistas recomendam o uso de autenticação em dois fatores e passkeys. O ataque ocorre em meio ao aumento de campanhas de phishing com arquivos SVG, que embutem códigos maliciosos redirecionando usuários a páginas falsas. Segundo a Kaspersky, mais de 4.100 e-mails desse tipo foram detectados em 2025.