Google emite alerta urgente: proteja sua conta do Gmail contra hackers russos

Um ataque cibernético sofisticado colocou em risco a segurança de cerca de 2,5 bilhões de usuários do Gmail e Google Cloud em todo o mundo. A brecha, detectada em junho de 2025, ocorreu em um sistema da Salesforce utilizado pela Google, permitindo que o grupo de hackers ShinyHunters, também conhecido como UNC6040, acessasse informações de contato de pequenas e médias empresas. O incidente, revelado pela Google em agosto, não comprometeu senhas ou dados financeiros, mas os dados roubados estão sendo usados para intensificar ataques de phishing e extorsão. A empresa emitiu um alerta de emergência, pedindo que os usuários reforcem suas medidas de segurança. O ataque, baseado em táticas de engenharia social, como chamadas telefônicas fraudulentas, destaca a vulnerabilidade humana em sistemas digitais. A ameaça continua, com indícios de que os hackers planejam lançar um site para vazar dados roubados.

A Google agiu rapidamente para conter o ataque, bloqueando o acesso dos hackers em poucas horas. No entanto, o grupo ShinyHunters já demonstrou capacidade de explorar informações roubadas em campanhas de extorsão. A empresa notificou todos os afetados por e-mail em 8 de agosto, reforçando a importância de medidas preventivas.

O incidente expõe a crescente sofisticação de ataques cibernéticos que exploram falhas humanas, não apenas técnicas. A seguir, detalhamos como o ataque ocorreu, quem são os responsáveis, as ações recomendadas para proteção e os impactos para empresas e usuários.

• Principais alvos: Pequenas e médias empresas com dados armazenados no Salesforce.
• Método do ataque: Chamadas telefônicas fraudulentas (vishing) e aplicativos maliciosos.
• Ação da Google: Contenção rápida e notificação dos usuários afetados.

Táticas de ataque e engenharia social

Os hackers do grupo ShinyHunters utilizaram técnicas de engenharia social, principalmente o vishing, para enganar funcionários. Fingindo ser equipes de suporte de TI, os criminosos convenciam suas vítimas a compartilhar credenciais ou instalar aplicativos falsos, como uma versão modificada do Salesforce Data Loader. Essas táticas permitiram o acesso a dados armazenados na plataforma Salesforce usada pela Google.

A campanha começou em março de 2025, mas ganhou força em junho, quando a Google identificou cerca de 20 empresas americanas e europeias como alvos. O grupo, conhecido por sua persistência, também atacou empresas como Cisco, Adidas e Pandora, explorando vulnerabilidades humanas em sistemas corporativos.

O uso de VPNs como Mullvad e redes TOR dificultou o rastreamento dos hackers, que também passaram a usar scripts personalizados em Python para automatizar a extração de dados. Essas mudanças mostram uma evolução nas táticas do grupo, que agora combina métodos manuais e automatizados para maximizar o impacto de suas operações.

• Vishing: Chamadas fraudulentas imitando suporte técnico.
• Smishing: Mensagens SMS com links para portais falsos.
• Phishing por e-mail: Alertas falsos de segurança do Google.
• Scripts personalizados: Uso de códigos Python para roubo de dados.

Quem são os ShinyHunters

Formado em 2020, o grupo ShinyHunters ganhou notoriedade por ataques a grandes corporações, como AT&T, Microsoft, Ticketmaster e Santander. Inspirando-se no universo Pokémon, o nome do grupo reflete sua abordagem de “caçar” dados valiosos. Eles são conhecidos por roubar grandes quantidades de registros de usuários e vendê-los em fóruns da dark web ou usá-los para extorsão.

A Google identifica o grupo como UNC6040, responsável pelas intrusões iniciais, e UNC6240, que gerencia as operações de extorsão. Há evidências de colaboração com outro grupo, o Scattered Spider, conhecido por técnicas avançadas de engenharia social. Essa parceria aumenta a sofisticação dos ataques, combinando táticas como domínios falsos e páginas de login fraudulentas.

A descentralização do grupo dificulta ações de repressão. Mesmo após prisões de membros ligados ao BreachForums, plataforma usada para vender dados roubados, o ShinyHunters continuou ativo, sugerindo uma estrutura de “extorsão como serviço”.

Leia Tambem

Anéis inteligentes avançam como alternativa discreta para monitoramento de saúde e bem-estar pessoal

Vazamento revela amostras do iPhone 18 Pro com novas cores; veja protótipos Azul Claro e Dark Cherry

Jogador Noahman90 encerra 11 anos de suporte a 6.000 caçadores em Bloodborne na luta contra Órfão de Kos

• Origem: Formado em 2020, com foco em roubo de dados.
• Alvos notáveis: AT&T, Ticketmaster, Microsoft, Santander.
• Métodos: Engenharia social, vendas na dark web, extorsão.
• Colaboração: Suspeita de parceria com o grupo Scattered Spider.

Ameaça de vazamento de dados

A Google alertou que os hackers podem estar preparando um site de vazamento de dados (DLS) para expor informações roubadas, uma tática comum para pressionar vítimas a pagar resgates. Essa estratégia já foi usada em ataques anteriores, como o da Ticketmaster, onde 1,3 terabytes de dados foram oferecidos na dark web.

Embora os dados roubados sejam descritos como “básicos e amplamente disponíveis”, como nomes de empresas e contatos, sua utilização em campanhas de phishing e smishing representa um risco significativo. Usuários relatam tentativas de golpe por telefone, com hackers se passando por funcionários do Google para roubar senhas ou códigos de autenticação.

Empresas afetadas, como Pandora e Allianz Life, também reportaram incidentes semelhantes, indicando que a campanha do ShinyHunters é ampla e contínua. A Google enfatiza que o Salesforce não foi comprometido diretamente, mas sim vítima de ataques de engenharia social contra seus clientes.

• Risco de DLS: Possível site para vazar dados roubados.
• Dados visados: Informações de contato de empresas.
• Impacto: Campanhas de phishing e smishing direcionadas.
• Resposta: Google bloqueou acessos e notificou vítimas.

Medidas de proteção para usuários

A Google recomenda ações imediatas para proteger contas do Gmail e outros serviços. A ativação da autenticação de dois fatores (2FA), preferencialmente via aplicativos como Google Authenticator, é uma das principais sugestões. Dados da empresa mostram que apenas um terço dos usuários troca senhas regularmente, o que aumenta a vulnerabilidade.

Os usuários devem desconfiar de chamadas ou mensagens inesperadas, mesmo com números aparentemente legítimos, devido ao uso de técnicas de spoofing. A empresa também sugere verificar atividades suspeitas nas contas e atualizar senhas para combinações únicas e complexas.

• Ative 2FA: Use aplicativos de autenticação, não SMS.
• Troque senhas: Use combinações únicas e complexas.
• Desconfie de contatos: Evite compartilhar dados por telefone.
• Monitore contas: Verifique atividades suspeitas regularmente.

Escala global e impacto corporativo

A campanha do ShinyHunters não se limita ao Google. Empresas como Qantas, Louis Vuitton e Dior também relataram brechas em seus sistemas Salesforce, sugerindo uma onda de ataques coordenados. A colaboração com o Scattered Spider aumenta a complexidade, com registros de domínios falsos que imitam páginas de login corporativas.

Ataques anteriores do grupo, como o roubo de 91 milhões de contas na Tokopedia e 70 milhões na AT&T, mostram sua capacidade de causar danos em larga escala. A ausência de vulnerabilidades técnicas no Salesforce reforça a importância de treinar funcionários contra táticas de engenharia social.

A Google continua monitorando a situação e colaborando com autoridades, mas a persistência do ShinyHunters sugere que novas vítimas podem surgir. A campanha de extorsão, que inclui demandas de pagamento em Bitcoin, permanece ativa, com algumas empresas recebendo ameaças meses após as intrusões iniciais.

• Alvos globais: Empresas nos EUA, Europa e Austrália.
• Colaboração: Uso de infraestrutura compartilhada com Scattered Spider.
• Extorsão: Demandas de pagamento em Bitcoin.
• Prevenção: Treinamento contra engenharia social.