Golpe por telefone e e-mail se passando pelo Google causa prejuízo de US$ 130 mil com sincronização de códigos de autenticação

 (bewildered.substack.com)
1 pontos por GN⁺ 2025-09-18 | 1 comentários | Compartilhar no WhatsApp
  • Um usuário compartilhou sua experiência ao cair em um golpe de phishing por meio de uma ligação fingindo ser do suporte do Google e de um e-mail se passando por legal@google.com
  • Por causa do recurso de sincronização em nuvem do Google Authenticator, o invasor conseguiu até os códigos de autenticação em dois fatores, invadiu a conta da Coinbase e roubou criptomoedas
  • Em cerca de 40 minutos, foram roubadas criptomoedas no valor de US$ 80 mil na época (cerca de US$ 130 mil no valor atual)
  • Aponta-se que uma falha de segurança do Gmail e a sincronização ativada por padrão no Authenticator agravaram os danos
  • A recomendação é seguir boas práticas básicas de segurança, como trocar senhas periodicamente, nunca compartilhar códigos de autenticação e configurar com cautela a sincronização em nuvem

Um golpe que começou com uma ligação

  • Em 19 de junho, a vítima recebeu uma ligação de um número da região de 'Pacifica, CA' (650)
  • A pessoa do outro lado afirmou ser da equipe de suporte do Google e mencionou uma solicitação reportada de transferência da conta, inclusive com atestado de óbito e documento de identidade anexados
  • Também foi enviado um e-mail de um endereço aparentemente real, legal@google.com (em nome de Norman Zhu), feito para parecer uma comunicação oficial e transmitir confiança
  • No app Gmail do iOS, a mensagem exibia remetente @google.com, identidade visual e número de caso, numa camuflagem bastante sofisticada
  • Usando como pretexto a verificação de óbito, pediram a confirmação de um código temporário de autenticação, e, num momento de ansiedade, a vítima forneceu o código

Como o invasor acessou a conta da Coinbase

  • No fim da ligação, ainda orientaram a vítima a se registrar no Google Advanced Security, o que ajudou a transmitir uma falsa sensação de segurança
  • A vítima acreditou que havia reforçado sua proteção, mas o invasor já tinha obtido acesso a Gmail, Drive, Photos e aos códigos sincronizados do Authenticator
  • O ponto decisivo foi o roubo dos códigos 2FA por meio da sincronização em nuvem do Google Authenticator
  • Logo depois, o invasor entrou na conta da Coinbase e começou a roubar as criptomoedas

Roubo das criptomoedas e detalhes do prejuízo

  • Ao longo de cerca de 40 minutos, o invasor fez várias transações, distribuiu ETH e outros tokens para diferentes endereços e levou tudo
  • O prejuízo foi de cerca de US$ 80 mil na época, equivalente a aproximadamente US$ 130 mil pelos valores atuais
  • Duas horas depois, ao conferir o saldo da Coinbase, a vítima viu a conta praticamente zerada
  • Também foram identificados no Google novos acessos por dispositivos desconhecidos e alteração do telefone de recuperação

Por que até um especialista em segurança poderia cair nisso

  • A vítima afirma trabalhar na área de TI e ser inclusive designer de experiências de autenticação
  • Apesar do alto nível de consciência sobre segurança, falhou ao reagir ao phishing por causa do e-mail falsificado e da encenação de uma situação urgente

Os 2 principais erros de segurança do Google

  1. Falha em filtrar e-mails falsificados com remetente ‘@google.com’
    • O campo From do e-mail podia ser forjado para parecer oficial, e no app Gmail do iOS não era possível verificar imediatamente os cabeçalhos completos
  2. Sincronização em nuvem ativada por padrão no Google Authenticator
    • O invasor obteve os códigos 2FA sincronizados, anulando na prática a eficácia da autenticação em duas etapas
    • O resultado foi a exposição, de uma só vez, de todo o patrimônio digital: e-mail, 2FA, documentos, fotos e mais
  • Observação: há um alerta de que, para quem usa Gmail e Google Authenticator juntos, o 2FA pode não ser essencialmente seguro

Regras de segurança e conselhos

  • Troque sua senha hoje mesmo e faça renovações periódicas (vazamentos de mais de 1,6 bilhão de senhas continuam ocorrendo)

  • Nunca compartilhe códigos de autenticação (os invasores manipulam psicologicamente usando senso de urgência e medo)

  • Use com cautela a sincronização em nuvem do Google Authenticator

    • Ela facilita a recuperação, mas também traz riscos de gestão e segurança

  • Mantenha sempre cautela com ligações suspeitas

    • Se bater dúvida ou ansiedade, desligue imediatamente e retorne por canais oficiais

  • A esperança é que este caso ajude a aumentar a conscientização e a evitar danos semelhantes

Contexto adicional e circunstâncias

  • Existe a possibilidade de o invasor já ter a senha da vítima a partir de uma lista recente com 1,6 bilhão de senhas vazadas
  • A própria vítima afirmou que não reutilizava a mesma senha e a mantinha em sigilo, mas não a trocava havia muito tempo
  • Supõe-se que o invasor tenha burlado o 2FA ao receber o código de recuperação

Sobre os e-mails de phishing

  • Houve vários e-mails em nome de legal@google.com, mas o invasor apagou completamente todos os rastros, inclusive da lixeira e do histórico de recuperação
  • Ainda assim, parte do conteúdo foi preservada graças a e-mails encaminhados para phishing@google.com e a mensagens de devolução recebidas durante o processo de retomada da conta
  • O endereço phishing@google.com talvez não exista de fato ou não seja acessível externamente
  • O e-mail original tinha o assunto ‘Google Recent Case Status’ e usava formato e nomenclatura oficiais, além de orientações sobre análise interna e armazenamento temporário de senha
  • Também incluía o nome do suposto atendente, ‘Norman Zhu’, número do caso e informações do departamento

Resumo geral

  • Trata-se de um caso de grande escala de tomada de conta e roubo de criptomoedas, causado pela combinação de um ataque de falsificação sofisticado com falhas estruturais da plataforma
  • É um lembrete de que nem a autenticação em duas etapas é uma zona de segurança absoluta
  • Além das práticas tradicionais de segurança, o caso reforça a necessidade de revisão de políticas em nível de plataforma e de configurações de segurança diferenciadas por serviço

Leituras relacionadas

1 comentários

 
GN⁺ 2025-09-18
Opiniões do Hacker News

  • Na última sexta-feira também recebi uma ligação parecida, soava legítima; a dica que uso é pedir o número do chamado e um número oficial para retorno, para verificar se é mesmo da empresa. Se for real, posso continuar a conversa; se não, já fico tranquilo. A pessoa disse que poderia me enviar um e-mail para provar que era oficial, mas não quis passar um número para retorno, então na hora percebi que era golpe. Endereço de e-mail e número de telefone podem ser falsificados à vontade; mesmo que o número pareça normal, nunca confie e sempre ligue de volta para o número oficial para confirmar.

    • Eu nem aceito o número de telefone diretamente; sempre pergunto o nome da empresa e da filial e depois procuro o número no site oficial da empresa (por exemplo, https://amazon.com) para ligar por conta própria. É um pouco mais incômodo, mas muito mais seguro.

    • Também é preciso cuidado ao procurar o número oficial. Números falsos podem aparecer misturados nos resultados de busca em sites que parecem legítimos. Sinceramente, é uma guerra sem armas.

    • Sobre a ideia de que “mesmo um número legítimo não significa nada por causa do identificador de chamadas”, eu disse isso ao meu banco alguns anos atrás, quando eles me ligaram e pediram dados pessoais para confirmar minha identidade.

    • “Número oficial” é uma boa ideia, mas se o atacante tiver acesso ao SS7, esse método não serve para nada.

  • Pontos que precisam ser lembrados repetidamente

    • Grandes empresas nunca ligam diretamente do suporte ao cliente.

    • Se alguém pedir um código por telefone ou e-mail, nunca informe o código de verificação recebido por SMS; a própria mensagem geralmente diz isso.

    • Não proteja informações sensíveis com uma única senha; não use o Google Authenticator vinculado à conta do Google para gerenciar senhas, e sim um terceiro como o 1Password.

    • Separe obrigatoriamente o e-mail usado para banco e investimentos do e-mail exposto ao resto do mundo; separe também os perfis do Chrome por e-mail e deixe só a extensão do gerenciador de senhas.

    • Mas algumas semanas atrás recebi uma ligação de um número que não aparecia em buscas, dizendo ser do suporte do banco. Pediram que eu lesse o código de verificação que chegou por SMS; recusei, então meu internet banking foi bloqueado, e depois recebi uma carta física bem dura dizendo que, como eu não havia me comunicado com o atendente, minha conta não poderia ser atualizada automaticamente. No fim, criei uma nova conta no app e liguei para eles, e então li novamente o código do SMS para eles (!); aquilo foi, de fato, o único procedimento de verificação para a nova conta. É assim que um dos 100 maiores bancos do mundo opera. Dá a sensação de que as empresas estão treinando as pessoas para cair em golpe. Era um banco alemão, mas o Chase também tem esse costume de pedir código OTP por telefone.

    • O suporte do Google Nest Thermostat já me pediu um código de verificação quando solicitei desativar uma configuração de economia de energia (aquele recurso em que a concessionária controla a temperatura para reduzir consumo). Eu recusei dizendo que a mensagem fala para não informar o código, e o suporte simplesmente me passou outro método. O pedido em si já era estranho.

    • Até recentemente, o banco Chase também pedia esse tipo de código quando ligava sobre alerta de fraude. Isso é irritante demais.

    • Eu deixo meu celular no modo “não perturbe” normalmente. Só cinco familiares próximos fazem o telefone tocar. Nunca atendo números desconhecidos, e se for realmente urgente, a pessoa pode deixar mensagem de voz. Acho que, ao atender, a gente perde a capacidade de julgar com frieza naquele instante. É parecido com o truque de pedir informação na rua e roubar seu relógio. Segurança não era o objetivo principal, mas gosto disso porque reduz ligações de marketing bancário e exposição a golpistas.

    • Infelizmente, alguns call centers realmente usam o método de enviar um código por SMS ou e-mail quando ligam para validar sua identidade, e depois pedem que você o leia de volta.

  • Este ataque parece ser puro engenharia social, e não parece ter havido falsificação de e-mail. É bem possível que o e-mail tenha sido realmente enviado oficialmente pelo Google. Meu palpite é que o atacante iniciou o procedimento oficial de recuperação de conta do Google, e o Google então enviou um e-mail com o código como parte desse processo. Como a vítima leu esse código em voz alta, o atacante provavelmente conseguiu acesso total à conta Google (e também ao Gmail e até ao app autenticador com backup no Google Drive). Eu gostaria muito de ver os cabeçalhos originais do e-mail.

    • O e-mail enviado de legal@google.com não parece real. Há erros gramaticais na primeira frase e no início da segunda, e um e-mail do jurídico não teria erros básicos de digitação e pontuação assim. Se fosse um e-mail oficial de verdade, isso certamente teria sido revisado. É falso.

    • Se o e-mail tivesse sido enviado pelo atacante, não entendo por que a vítima precisaria informar o código.

    • “Redefinição de senha do Coinbase”... é realmente perigoso usar o Gmail vinculado a serviços importantes como banco, criptomoedas e domínios. Eu mesmo sei minha senha do Google, mas não consigo acessar porque a autenticação em dois fatores está bloqueando.

  • Sempre desconfie de números desconhecidos. Concordo com o conselho de que, se algo parecer estranho, o melhor é desligar e entrar em contato com a empresa por conta própria para recomeçar a conversa. Pensando bem, quase nunca atendo quando não estou esperando uma ligação, e acho que isso me poupou de muitos golpes. Também é decepcionante que o Google sincronize os códigos do Authenticator na nuvem, o que acabou dando ao atacante acesso a Gmail, Drive, Fotos e ao app autenticador.

    • Normalmente eu não atendo números desconhecidos, mas alguns dias atrás ligaram se passando por um “funcionário da Amazon”, dizendo que um iPhone de 600 mil won havia sido comprado na minha conta. Para confirmar minha identidade, perguntaram qual tinha sido meu pedido mais recente, e continuaram totalmente perdidos. Depois de 20 minutos na ligação, acabaram me xingando e desligando. Ao mesmo tempo, dava para ouvir um barulho intenso ao redor, com vários golpes parecidos acontecendo. Não consigo entender por que fiquei tanto tempo na ligação.

    • O sinal de alerta mais claro nesses golpes é: “o suporte entra em contato primeiro”. Quando você realmente precisa falar com o suporte de verdade por um assunto urgente, nunca consegue.

    • Hoje minha regra é: número desconhecido vai direto para a caixa postal. Se for importante, deixem mensagem e número. Se realmente for necessário, eu ligo de volta. Só abro exceção para coisas como hospital ou entrega.

    • Eu uso a regra de 1 a 2 segundos. Atendo, digo “alô”, e se não houver resposta em 1 ou 2 segundos, desligo. Golpistas vêm de filas de chamada, então sempre há um pequeno atraso, e eles também precisam entrar no script. Diferente de uma conversa normal, precisam de um tempo de preparação. Se não respondem na hora, a chance de ser spam é alta.

    • Não só no meu telefone, mas também no dos meus pais, configurei bloqueio total de números desconhecidos. Eu sempre reforço para não acreditarem em golpes por e-mail, mas mesmo assim, uma ou duas vezes por ano minha mãe me liga assustada por causa de algum “e-mail de golpe que ela achou que era real”.

  • Minha regra básica é não atender telefone. De fato, deixo o “não perturbe” ligado e só permito toque para números favoritos. Quem estiver realmente com urgência — seja legítimo ou golpe — que deixe mensagem de voz. Se disser que é de alguma empresa, eu verifico por conta própria. Casos assim mostram que, quando a ligação não foi solicitada por você, por mais convincente que pareça, o certo é nem começar a conversa. E eu jamais deixo informações sensíveis na conta Google. Quem tem experiência no setor de tecnologia sabe o quanto isso é perigoso.

    • Eu conheço bem o risco de ligações de spam, não precisa me explicar. Mas parece que vocês descartam com facilidade demais a possibilidade de alguém como o “time de segurança do banco” realmente ligar para alertar sobre fraude. Talvez eu não tenha reconhecido o número do banco, e nem tenho certeza de qual seria o número correto.

    • Já recebi ligações reais e importantes do governo ou do banco (erro em declaração de imposto, por exemplo), então não acho que a resposta certa seja nunca atender. E, aliás, na Europa quase ninguém usa caixa postal; isso parece ser bem mais cultural dos EUA.

  • Roubo de cripto pode acontecer tranquilamente mesmo sem falsificação de endereço de e-mail. Criminosos podem apontar uma arma e exigir sua seed; há vários casos reais assim. Por isso, bancos tradicionais são muito mais seguros que cripto. Foi bom o autor ter compartilhado essa experiência, mas espero que a verdadeira lição seja que cripto não é uma forma segura de armazenar patrimônio.

    • Ainda assim, ligar para as pessoas escala muito melhor do que ir armado até a casa delas.

    • Mesmo assim, bem no estilo Hacker News, tem gente dizendo que ameaça armada nem deveria ser o foco da discussão.

    • Multisig é útil para segurança em cripto. Por exemplo, em um arranjo 2-of-2, se você compartilhar a autorização com uma instituição confiável, como um banco, a segurança normalmente fica melhor do que a de um banco comum. Com 3-of-5 e várias chaves, dá até para se proteger de coerção, como em casos em que um token de hardware apaga a chave após PIN incorreto.

    • A solução são carteiras multisig. E estruturas em que várias pessoas precisam concordar para sacar também funcionam como freio contra gastos impulsivos; por outro lado, podem aumentar o risco se muitas pessoas estiverem envolvidas. E, com cold wallets offline, ainda dá para ganhar tempo, porque um ataque pode levar horas para ser concluído.

    • Vale lembrar também esta tirinha: https://xkcd.com/538/

  • A pergunta mais decisiva é: por que o atacante não esvaziou também banco, previdência e cartão de crédito? Na prática, bancos se preocupam muito mais com invasão de conta de cliente.

    • O verdadeiro significado de “banco se preocupa” é que, por política, se você tiver agido de forma razoável, eles costumam ressarcir quando a conta é invadida. Por isso os bancos também se preocupam muito mais com golpes de valores altos. E vale notar que, até 10 meses atrás, havia thread no Reddit dizendo que a combinação Coinbase + Google Authenticator era o topo da segurança: thread no Reddit sobre invasão do Coinbase

    • Por outro lado, também é problemático quando banco e afins forçam o cliente a só usar apps de smartphone cheios de bloqueios obrigatórios para fazer operações bancárias. Quase não existe meio-termo entre desconfiar totalmente do cliente e transferir toda a responsabilidade para ele.

    • Em contas bancárias ou de corretora, transferências levam tempo. Se você perceber o golpe e denunciar durante esse intervalo, a conta pode ser congelada, então é mais fácil evitar perda imediata.

    • Na verdade, há quem diga que os bancos nem se importam tanto assim com isso.

  • A sequência do incidente é confusa e difícil de entender. Se tudo foi comprometido apenas com um código 2FA, então é um problema gravíssimo. Também fico em dúvida se havia uma senha antiga vazada, reutilização de senha ou se a conta Google já estava exposta. Se apenas com o código 2FA o atacante passou de conta Google → app autenticador → gerenciador de senhas, então isso pode derrubar em cadeia o segundo fator de outros serviços também. O que mais quero saber é se houve reutilização de senha. Observação: trabalho no Google, mas não sou do time de segurança.

    • Acho que o atacante já tinha minha senha e, no fim, só precisava do código de recuperação que eu li por telefone. Eu não compartilhei minha senha nem a reutilizei, mas também não a trocava havia muito tempo.

    • Mesmo com a senha, se você controla o e-mail e o código 2FA, dá para tomar todas as contas via redefinição de senha.

  • O texto carece de explicação técnica concreta. É preocupante que, mesmo em 2025, o Google aparentemente ainda não consiga bloquear corretamente e-mails “parecidos” com @google.com. Não está claro se foi spoofing com Unicode, ausência de autenticação como DKIM ou se a própria conta foi comprometida. No geral, a história não fecha.

    • A própria ideia de nomes de domínio com Unicode nunca pareceu funcionar direito. Na prática, quem mais usa isso são golpistas e criminosos. Um belo “obrigado, ICANN”, em tom de ironia.

    • Também é estranho que o relato não explique como o e-mail parecia vir do domínio do Google. E é esquisito alguém dizer que trabalha com segurança e, ainda assim, não dar detalhes.

  • Apontaram que faltou o conselho mais importante: “não deixe centenas de milhares de dólares em uma conta do Coinbase”.

    • Eu tinha minhas criptos divididas entre o Coinbase e um HD quebrado, e agora não consigo recuperar o HD.

    • Eu recomendaria simplesmente não investir em cripto. É difícil encontrar valor prático fora de especulação e lavagem de dinheiro, e os riscos são grandes.