Os ataques de phishing estão ficando mais inteligentes, de modo que é difícil até mesmo para o usuário mais diligente identificar um. Às vezes, o ataque ocorre e as pessoas não são mais sábias até que seja tarde demais. Outras vezes, os especialistas em segurança conseguem identificar um possível golpe de phishing antes mesmo de acontecer, como o prompt de login falso da Apple. Como os golpes de phishing geralmente visam serviços grandes e populares, esses serviços também tentam proteger seus usuários desses golpes. O Google lançou uma extensão do Chrome chamada Alerta de senha que pode identificar um formulário de login falso do Google.
Identifique um formulário de login do Google falso
Instalar Alerta de senha e isso é realmente tudo que você tem que fazer. A extensão adiciona um ícone ao lado da barra de URL, mas não mostrará nada se o formulário de login do Google em que você inserir suas credenciais for real. A extensão apenas informa se você inseriu suas informações de login em um formulário de login falso do Google.
Este ano, houve alguns golpes de phishing de alto perfil. Um segmentou usuários do Google Docs, enquanto outro reivindicou afiliação ao Plex.
No caso do ataque de phishing do Google Docs, o Google respondeu rapidamente. O problema foi corrigido em questão de horas após ser relatado no Reddit. Esse golpe em particular não precisou pedir para você fazer login novamente, ou seja, não houve etapa extra de verificação. Ele pediu permissão adicional para acessar informações em sua conta. Essa extensão provavelmente não teria sido capaz de salvá-lo nesse caso, mas é uma boa camada de segurança para ter em seu navegador.
Espaço para melhorias
O Alerta de senha é reativo, não proativo. De acordo com a descrição da Chrome Web Store, a extensão avisa sobre o perigo potencial somente depois que você digita seu e-mail e senha em um formulário de login falso do Google. A extensão não verifica ativamente as páginas da Web que você visita para verificar se são reais ou não.
O que isso significa é que quando o Alerta de Senha avisar que você sofreu phishing, você já terá dado suas credenciais de login. A extensão solicitará que você altere seu login e senha imediatamente, o que você deve fazer. A ideia é que a extensão seja capaz de alertá-lo com rapidez suficiente para que, mesmo que suas informações tenham sido comprometidas, os invasores não tenham tempo suficiente para usá-las antes que você possa redefini-las.
Essa é uma abordagem otimista, mas o problema é que as pessoas tendem a usar a mesma senha ou uma variação dela em vários serviços. Um usuário desavisado pode supor que alterar suas credenciais de login do Google será suficiente. Um usuário mais diligente precisará alterar rapidamente sua senha em vários serviços antes que ela possa ser usada indevidamente e provavelmente será uma corrida contra o tempo.