Alerta urgente: e-mail falso ameaça bilhões de usuários do Gmail

Se você recebeu recentemente um e-mail do endereço no-reply@google.com, é hora de redobrar a atenção.

De acordo com especialistas em segurança cibernética, existe um novo tipo de golpe de phishing extremamente sofisticado, capaz de enganar até os usuários mais atentos — e que utiliza a própria infraestrutura do Google para parecer legítimo.

O que é esse novo golpe no Gmail?

O ataque foi revelado por Nick Johnson, fundador do Ethereum Name Service, que identificou uma tentativa de golpe aparentemente vinda de um endereço autêntico: no-reply@google.com.

O e-mail, assinado digitalmente e validado pelos filtros do Gmail, simula um alerta de segurança real, o que o torna extremamente convincente.

Ao acessar o link da mensagem, a vítima é direcionada para uma página falsa de suporte do Google, hospedada em um subdomínio legítimo como sites.google.com. Lá, são exibidas opções como “enviar documentos adicionais” ou “visualizar caso”, levando a um formulário de login idêntico ao oficial.

A armadilha? Inserir seus dados ali significa entregá-los diretamente aos golpistas.

Por que o golpe parece tão real?

Esse ataque explora duas vulnerabilidades da infraestrutura do Google:

• Assinatura DKIM válida: como o e-mail foi realmente enviado por uma conta do Google, ele passa por todos os testes de autenticação.
• Uso legítimo do domínio google.com: o conteúdo do golpe é hospedado em uma página real do Google Sites, dificultando a detecção.
• O golpista ainda nomeia sua conta como “me@”, fazendo com que o Gmail mostre o e-mail como se tivesse sido enviado a você pessoalmente, algo comum em alertas reais da plataforma.

Como identificar esse phishing avançado?

Apesar de convincente, o e-mail possui alguns sinais sutis de que é falso:

• Foi enviado por privateemail.com, embora pareça vir de @google.com.
• Há espaços em branco incomuns no corpo da mensagem.
• O link de login leva a sites.google.com, e não a accounts.google.com.
• O conteúdo inclui mensagens como “Google Legal Support foi concedido acesso à sua conta”, algo que o Google raramente comunica por e-mail.

O que diz o Google sobre o caso?

Em resposta à denúncia, o Google afirmou que está ciente desse tipo de ataque direcionado e já iniciou medidas para bloquear esse vetor de abuso. A empresa recomenda que os usuários ativem autenticação em dois fatores e, se possível, utilizem passkeys, que oferecem proteção robusta contra phishing.

Como se proteger de golpes como esse?

Veja algumas dicas essenciais para evitar cair nesse tipo de ataque:

• Desconfie de e-mails inesperados, mesmo que pareçam oficiais.
• Verifique o endereço do remetente completo e observe pequenos detalhes como domínios alternativos.
• Nunca insira sua senha em páginas suspeitas — verifique sempre a URL.
• Ative a verificação em duas etapas para dificultar acessos indevidos à sua conta.
• Use senhas fortes e únicas para cada serviço.

Portanto, fique atento aos detalhes. Busque ativar os recursos de segurança e ficar informado para se proteger no mundo digital.

Imagem de Capa: Canva