Os ataques de *phishing* estão se aprimorando a um nível que torna difícil, até mesmo para o usuário mais atento, identificá-los. Frequentemente, o ataque se concretiza sem que as pessoas se deem conta até ser tarde demais. Em outras ocasiões, especialistas em segurança conseguem detectar um possível golpe de *phishing* antes que ele se manifeste, como no caso do falso aviso de *login* da Apple. Como os golpes de *phishing* geralmente têm como alvo serviços amplos e populares, esses mesmos serviços buscam proteger seus usuários contra essas ameaças. O Google, por exemplo, desenvolveu uma extensão para o Chrome, chamada Alerta de Senha, que consegue identificar formulários de *login* falsos do Google.
Como identificar um formulário de *login* falso do Google
A instalação do Alerta de Senha é, na verdade, tudo o que você precisa fazer. A extensão adiciona um ícone junto à barra de endereço, que permanece discreto se o formulário de *login* do Google onde você insere suas credenciais for genuíno. A extensão só emite um alerta se suas informações de *login* forem digitadas em um formulário de *login* falso do Google.
Ao longo deste ano, observamos alguns casos de golpes de *phishing* de grande repercussão. Um deles visava usuários do Google Docs, enquanto outro se dizia associado ao Plex.
No caso do ataque de *phishing* direcionado ao Google Docs, o Google reagiu com agilidade. A questão foi resolvida poucas horas após ser divulgada no Reddit. Este golpe em particular não pedia que você fizesse *login* novamente, ou seja, não havia uma etapa de verificação extra. Em vez disso, solicitava permissão adicional para acessar informações em sua conta. É provável que essa extensão não tivesse sido capaz de proteger você nesse caso, mas ela representa uma camada de segurança adicional valiosa para o seu navegador.
Oportunidades para melhoria
O Alerta de Senha opera de forma reativa, e não proativa. Conforme a descrição na Chrome Web Store, a extensão emite um aviso sobre o risco potencial somente depois que você já digitou seu e-mail e senha em um formulário de *login* falso do Google. A extensão não realiza uma verificação ativa das páginas da web que você visita, para determinar se são legítimas ou não.
Isso implica que, quando o Alerta de Senha o notificar sobre um ataque de *phishing*, suas credenciais de *login* já terão sido entregues. A extensão solicitará que você altere seu *login* e senha imediatamente, o que você deve fazer. A ideia é que a extensão seja capaz de alertá-lo rapidamente o suficiente, de modo que, mesmo que suas informações tenham sido comprometidas, os invasores não tenham tempo hábil para utilizá-las antes que você possa redefini-las.
Esta é uma abordagem otimista, mas o problema é que as pessoas tendem a utilizar a mesma senha ou uma variação dela em vários serviços. Um usuário desavisado pode supor que alterar suas credenciais de *login* do Google será suficiente. Já um usuário mais cuidadoso terá que trocar rapidamente sua senha em diversos serviços antes que ela seja usada de forma indevida, em uma verdadeira corrida contra o tempo.