Em junho de 2025, pesquisadores do Google revelaram uma campanha sofisticada de ciberataque que conseguiu driblar a autenticação multifator (MFA) do Gmail, explorando uma brecha pouco conhecida: o uso indevido de senhas de aplicativo. O golpe, orquestrado por hackers russos, foi direcionado a indivíduos específicos, como professores, ativistas e críticos do governo, e é um alerta importante para qualquer pessoa que utiliza serviços do Google, especialmente as menos familiarizadas com segurança digital.
Como o ataque funcionava
O grupo de hackers utilizou táticas de engenharia social para enganar suas vítimas. Eles se passaram por representantes do Departamento de Estado dos EUA, enviando convites por e-mail que simulavam uma conversa oficial e legítima.
A mensagem inicial vinha de um e-mail do Gmail, mas incluía cópias supostamente enviadas para endereços com final “@state.gov”, criando uma ilusão de credibilidade institucional. Mesmo que esses endereços fossem falsos, o servidor do governo norte-americano não alerta se um e-mail é inválido, o que reforçava a farsa.
Durante a interação, os golpistas enviavam documentos falsos solicitando que a vítima adicionasse sua conta Google a uma suposta plataforma oficial (“MS DoS Guest Tenant”), fornecendo uma senha de aplicativo como parte do processo.
O que são senhas de aplicativo, e por que são perigosas?
Senhas de aplicativo são códigos de 16 dígitos gerados pelo próprio Google para permitir que programas e dispositivos antigos acessem uma conta sem exigir a autenticação multifator tradicional. Ou seja: mesmo que você tenha MFA ativada, uma senha de aplicativo permite acesso direto à sua conta sem exigir o segundo fator de verificação.
Essa alternativa foi criada pensando em praticidade, mas também abre uma brecha crítica de segurança. E foi justamente essa brecha que os hackers exploraram, induzindo as vítimas a criarem essas senhas e, assim, entregarem acesso total às suas contas.
Por que esse tipo de ataque funciona?
Esse golpe é particularmente eficaz contra:
1) Idosos e não nativos digitais, que muitas vezes têm menos familiaridade com práticas seguras online;
2) Usuários que confiam plenamente em e-mails com aparência oficial;
3) Pessoas que desconhecem o funcionamento das senhas de aplicativo ou que não entendem os riscos associados.
A sofisticação do golpe e o cuidado com os detalhes levaram especialistas a suspeitarem que se trata de um grupo apoiado por um Estado, neste caso, possivelmente ligado ao governo russo.
Como se proteger de golpes como este:
Com o crescimento de ataques que exploram engenharia social e brechas como a senha de aplicativo, é essencial adotar práticas de segurança mais robustas:
✅ Evite usar senhas de aplicativo
Use essa funcionalidade apenas em casos extremamente necessários. Sempre que possível, utilize programas e dispositivos compatíveis com formas modernas de autenticação.
✅ Prefira métodos de MFA mais seguros
Utilize aplicativos de autenticação como o Google Authenticator ou chaves físicas de segurança (FIDO2/WebAuthn), que oferecem proteção superior aos códigos enviados por SMS.
✅ Fique atento a tentativas de phishing
Desconfie de e-mails que pedem dados pessoais, senhas ou configurações incomuns. mesmo que pareçam oficiais. Verifique sempre o remetente e, na dúvida, não clique em links ou faça alterações sugeridas.
✅ Monitore acessos suspeitos
Verifique regularmente os dispositivos conectados à sua conta e as atividades recentes. Caso veja algo estranho, altere imediatamente sua senha e remova acessos desconhecidos.
✅ Mantenha seus sistemas atualizados
Ative as atualizações automáticas de dispositivos e softwares. Muitas falhas de segurança são corrigidas com essas atualizações, e não aplicá-las deixa sua conta exposta.
✅ Use uma solução de segurança confiável
Ferramentas de segurança podem ajudar a bloquear sites maliciosos e identificar tentativas de golpe antes que causem dano.
Informação é sua melhor defesa
Esse caso envolvendo senhas de aplicativo é mais uma prova de que a segurança da informação depende tanto da tecnologia quanto da consciência do usuário. Hackers continuam encontrando maneiras de enganar sistemas e pessoas, por isso, estar atento, informado e bem orientado é a melhor forma de se proteger.