O Google Docs, foi um dos serviços mais revolucionários no que toca ao trabalho colaborativo quando surgiu. Em vez de ter de instalar muitos software em vários computadores e tentar usar funcionalidades que não eram muito amigas do utilizador, basta enviar um link para a pessoa (ou pessoas) com que se quer partilhar o trabalho que se está a fazer, e toda a gente pode começar a editar o mesmo documento directamente no browser. Claro que o conjunto de aplicações da Google não foi o primeiro a permitir que várias pessoas editem o mesmo documento em simultâneo, nem será a última, mas tem uma vantagem sobre a maioria: é gratuito.
Naturalmente, a popularidade desta plataforma torna-a um alvo muito apetitoso para quem quiser roubar informação e a empresa de segurança Avanan, que pertence ao universo da Check Point descobriu um novo ataque dirigido exactamente para roubar informação a quem usa o Google Docs.
Este ataque específico é muito simples e usa algumas funcionalidades que estão presentes no próprio Google Docs, que têm como objectivo facilitar a colaboração dos utilizadores. Os atacantes criam um documento público e depois adicionam um comentário que menciona alguém com um @. Isto faz com que o sistema envie uma mensagem de email automática a essa pessoa, que vem do próprio serviço e que contém o texto completo do comentário, incluindo links para phishing e malware. Para piorar as coisas um pouco mais, o endereço de email do autor do comentário não é mostrado, apenas o nome, isto permite que o atacante se faça passar por um utilizador legítimo.
Segundo a Avanan, este ataque tem sido usado principalmente contra utilizadores com endereços de email do Outlook, apesar de poder ser usado contra qualquer utilizador com um qualquer endereço de email. A empresa de segurança diz que os atacantes usaram mais de 100 contas de Gmail diferentes para criarem os comentários.
Devido às mensagens de email virem da Google, estão direccionadas a um utilizador específico e não contêm nenhum endereço de email, conseguem passar através da maioria dos filtros de spam e bloqueios de conteúdos. Isto facilita a entrada dos atacantes em redes empresariais que usem o Google Docs. A Avanan diz que notificou a Google deste problema a 3 de Janeiro.
Actualmente, a única forma de mitigar este ataque é seguir as melhores práticas no que respeita à protecção contra phishing. Não clicar em nenhum link que venha em comentários a documentos do Google Docs ou nos emails relacionados com o serviço. Em último caso, o utilizador deve contactar o remetente directamente, para se certificar que o email recebido é mesmo legítimo.
