A mais recente atualização do Gmail trouxe um recurso poderoso: criptografia de ponta a ponta (E2EE) para usuários empresariais. Mas enquanto a proposta é proteger a privacidade das mensagens, especialistas em segurança digital estão em alerta: cibercriminosos já estão encontrando formas de explorar a novidade para aplicar golpes ainda mais elaborados.
O que está mudando no Gmail?
Com essa nova funcionalidade, agora é possível enviar e receber mensagens criptografadas inclusive para pessoas que não utilizam o Gmail. Nestes casos, o destinatário recebe um convite para acessar o conteúdo através de uma versão limitada do Gmail, usando uma conta temporária do Google Workspace.
O problema? Muita gente não conhece esse tipo de convite. E aí, os criminosos entram em cena com e-mails falsos que imitam exatamente esse formato. Para quem não está acostumado, fica fácil cair no golpe achando que é um aviso legítimo do Google.
Phishing + Inteligência Artificial: combinação perigosa
Segundo Jérôme Segura, diretor de inteligência de ameaças da Malwarebytes, essa falta de familiaridade com novos recursos é o que abre as portas para os ataques. Ele explica que muitas vítimas clicam nessas mensagens por acharem que são alertas reais da plataforma. Para piorar, os hackers estão usando inteligência artificial para deixar os e-mails ainda mais convincentes.
E não para por aí: uma campanha conhecida como “Gmail Subpoena” (ou “intimação do Gmail”) também está circulando. Nela, os golpistas enviam mensagens aparentemente legítimas com remetentes reais, como “no-reply@google.com”, se aproveitando da reputação da empresa para ganhar credibilidade. O conteúdo geralmente envolve ameaças legais falsas, dizendo que o usuário precisa acessar documentos importantes e, claro, o link leva direto para páginas de phishing.
Por que esses e-mails passam pelos filtros?
Mesmo com sistemas de autenticação como o DKIM (DomainKeys Identified Mail), que garantem que a mensagem veio de um domínio verdadeiro, o conteúdo ainda pode ser malicioso. Como explica James Shank, chefe de operações de ameaça na empresa Expel, essa brecha onde o domínio é legítimo, mas a mensagem é enganosa está sendo explorada por quem quer aplicar golpes com aparência de legitimidade.
O que o Google está fazendo?
Em resposta às denúncias, a equipe do Gmail reforçou seus sistemas de segurança. De acordo com Ross Richendrfer, porta-voz da empresa, os convites de mensagens criptografadas usam a mesma arquitetura de segurança aplicada nas notificações do Google Drive. Isso significa que há uma camada extra de proteção mas ainda assim, a atenção do usuário continua sendo a principal defesa.
Como se proteger?
Os especialistas são unânimes: os golpes estão ficando cada vez mais inteligentes e difíceis de detectar. Por isso, seguem algumas dicas essenciais:
-
Desconfie de convites que você não solicitou, mesmo que pareçam vir do Google.
-
Não clique em links de mensagens suspeitas, especialmente se envolvem ameaças legais ou urgência.
-
Jamais insira senhas ou códigos de verificação em páginas que não tenham 100% de certeza da autenticidade.
-
Ative verificação em duas etapas na sua conta do Google.
-
Mantenha o navegador e o sistema operacional atualizados.
Ficar informado é o primeiro passo para se proteger. Compartilhe este alerta com amigos e colegas que usam Gmail principalmente em ambientes corporativos. Segurança digital é responsabilidade de todos!
