Dois investidores americanos, Adam Griffin e Tony, foram vítimas de um golpe de engenharia social altamente sofisticado que resultou no roubo de mais de US$ 5 milhões em Bitcoin. Os criminosos exploraram ferramentas legítimas do Google, como o Google Forms e o Google Authenticator, para acessar as seeds (frases-semente) das carteiras das vítimas e transferir os fundos para carteiras sob seu controle. Os detalhes do caso foram relatados pelo site de segurança Krebs on Security.
O primeiro caso, envolvendo Adam Griffin, um bombeiro de Seattle, ocorreu em 6 de maio de 2024. Ele recebeu uma ligação de um número que parecia ser oficial do Google, informando sobre um acesso suspeito à sua conta na Alemanha. Para dar credibilidade à farsa, o golpista, que se identificou como “Ashton”, enviou um e-mail legítimo via google.com, contendo detalhes técnicos e um número de caso falso. A chave para o sucesso do golpe foi a utilização do Google Forms. Os criminosos criaram um formulário que, ao ser acessado pela vítima, direcionava para um prompt de recuperação de conta, concedendo acesso total ao Gmail de Griffin.
A vulnerabilidade explorada foi a sincronização do Google Fotos com o Gmail. Anos atrás, Griffin havia armazenado uma imagem de sua seed de Bitcoin no Google Fotos. Com acesso ao Gmail, os golpistas conseguiram visualizar a imagem e transferir aproximadamente US$ 450.000 da carteira de Griffin. Após o roubo, Griffin recebeu outra ligação, desta vez de um suposto representante da Coinbase, que tentou coletar mais informações, embora uma tentativa de retirada de US$ 100.000 tenha sido bloqueada pela plataforma.
O Segundo Ataque: Uma estratégia similar, prejuízo ainda maior
Em 15 de maio, Tony, um investidor experiente da Califórnia, caiu em um golpe semelhante. Ele recebeu uma notificação de segurança em seu celular seguida de uma ligação de um suposto representante do Google, “Daniel Alexander”, que alegou acesso não autorizado à sua conta na Alemanha. Tony foi induzido a clicar em um prompt de recuperação de conta em seu celular. Posteriormente, ele recebeu uma ligação de um suposto representante da Trezor, fabricante de carteiras de hardware. O golpista convenceu Tony a inserir sua seed em um site falso (verify-trezor[.]io), que imitava o site oficial da Trezor, resultando na transferência de 45 Bitcoins, equivalentes a cerca de R$ 26 milhões na época.
Notícias Relacionadas
Exploração de Vulnerabilidades do Google Authenticator e Google Forms
Ambos os ataques exploraram vulnerabilidades conhecidas no Google Authenticator, que, por padrão, sincroniza códigos de autenticação com a conta do Gmail, permitindo que hackers com acesso ao e-mail obtenham os códigos necessários para autorizar transações em exchanges. O uso do Google Forms permitiu aos golpistas criar formulários e pesquisas do Google, enviando e-mails diretamente do domínio google.com, dificultando a identificação como fraudulentos.
Griffin e Tony descobriram, por meio de uma publicação no Reddit, que os golpes tinham semelhanças notáveis, sugerindo uma operação coordenada. Posteriormente, Tony reconheceu a voz do golpista em um podcast onde o criminoso se gabava de suas atividades, revelando detalhes de seus métodos, incluindo o uso de bots para realizar chamadas automatizadas e identificar potenciais vítimas. O hacker admitiu ser um adolescente que operava com outros hackers, muitos conhecidos de jogos como Minecraft.
A Resposta do Google e o Impacto Emocional nas Vítimas
O Google reconheceu os ataques, descrevendo-os como uma campanha de phishing direcionada. A empresa reforçou suas defesas, emitiu orientações para evitar golpes semelhantes e afirmou que nunca entra em contato por telefone para tratar de questões de segurança. Apesar das ações do Google, as vítimas criticaram a facilidade com que os criminosos exploraram ferramentas legítimas.
O impacto emocional sobre as vítimas foi devastador. Tony, que planejava usar os fundos roubados para a aposentadoria e a educação de seus filhos, precisou de meses de terapia para lidar com o trauma. Griffin tentou enganar os golpistas em chamadas subsequentes, mas foi ameaçado.
