Uma falha envolvendo o Family Link, recurso de controlo parental da Google, abriu brecha para uma tática preocupante de roubo de contas do Gmail. Hackers estão a transformar perfis comprometidos em “contas infantis” supervisionadas por eles próprios. Este é um movimento que impede totalmente o utilizador legítimo de recuperar o acesso, mesmo com os métodos tradicionais de recuperação.
Conforme reportou a Forbes, o alerta surgiu após um caso publicado no subreddit do Gmail, em que uma vítima teve a sua idade alterada para 10 anos e a conta automaticamente adicionada ao grupo familiar controlado pelo invasor. Com isso, todas as ferramentas de recuperação deixaram de funcionar. Para piorar, o atacante ainda exigiu vários cartões-presente como forma de resgate.
Como o ataque funciona
O funcionamento do ataque é mais simples do que parece à primeira vista. Depois de comprometer a conta do Gmail, o invasor altera a idade do utilizador para menos de 13 anos. Esse único passo já é suficiente para acionar o modo de “conta infantil”, permitindo que o hacker a inclua imediatamente num grupo familiar sob o seu próprio controlo.
A partir daí, ele assume supervisão total sobre o perfil, incluindo a capacidade de trocar senhas e bloquear o acesso do utilizador legítimo, algo pensado originalmente para pais monitorizarem os dispositivos dos filhos.
Como apontou um dos participantes da discussão no subreddit, “alterar a data de nascimento deveria exigir uma reautenticação completa”, uma lacuna que a Google não imaginou que poderia ser utilizada para roubo de contas.
Um problema que já dura há mais de um ano
Apesar de a Google classificar a tática como “incomum”, há relatos semelhantes desde 2023, indicando que a vulnerabilidade não é nova. A empresa afirma que a equipa de segurança está a investigar o caso, mas ainda não confirmou uma solução definitiva.
Agora que o método viralizou em fóruns online, é provável que o número de ataques aumente. Portanto, fica atento e toma as medidas necessárias para proteger a tua conta:
O que fazer para evitar o bloqueio
Em declaração à Forbes, um porta-voz da Google partilhou algumas recomendações essenciais para proteger as contas contra essa ameaça:
-
Ativa a verificação em duas etapas e usa chaves de acesso sempre que possível.
-
Revê os dispositivos conectados e remove números ou telefones antigos associados à conta.
-
Configura e atualiza as tuas informações de recuperação, incluindo o novo recurso de Contatos de Recuperação, que permite que pessoas de confiança ajudem no desbloqueio.
A Google ainda destaca que as chaves de acesso continuam a ser a proteção mais eficaz contra roubos de conta, já que são resistentes a phishing e impedem que utilizadores sejam enganados para fornecer códigos a agentes maliciosos.
A melhor estratégia é impedir a invasão antes que ela aconteça, porque, uma vez que a conta cai nessa brecha do Family Link, a recuperação torna-se quase impossível.
