A Check Point alerta sobre os novos recursos de segurança lançados pelo Google para facilitar a recuperação de conta, denominado Contatos de Recuperação, pois permite que usuário ligue para um amigo para recuperar o acesso à sua conta. Embora a iniciativa tenha sido projetada para aprimorar a segurança, ela também pode abrir uma nova superfície de ataque se não for gerenciada com cuidado.
O especialista da Check Point Software, Aaron Rose, gerente de arquitetura de segurança explica que qualquer sistema que dependa da confiança humana, como a designação de contatos de recuperação, pode ser explorado por engenharia social. “Atacantes poderiam manipular ou se passar por um contato confiável para obter acesso à conta. Já vimos táticas semelhantes em esquemas de comprometimento de e-mails corporativos, em que a manipulação emocional, e não a tecnologia, é o ponto de entrada.”
A pesquisa mostra que recursos como esse podem criar uma falsa sensação de segurança. Se os usuários acreditarem que os novos alertas e métodos de recuperação irão capturar tudo, podem baixar a guarda diante de golpes mais sutis ou aqueles gerados por IA. “Phishing por voz ou vídeo deepfake pode facilmente enganar até os mais experientes. A verdadeira segurança vem da combinação dessas proteções integradas com educação contínua e conscientização — a camada humana ainda é o elo mais fraco e não pode ser negligenciada”, diz Aaron Rose.
Usar um número de telefone ou dispositivo anterior como mecanismo primário de recuperação é conveniente, mas traz riscos inerentes. Ataques de SIM (Módulo de Identificação do Assinante) swap (golpe em que cibercriminosos enganam a operadora para transferir o número da vítima para um chip controlado por eles) e malwares móveis continuam em alta. Vincular a recuperação de contas a um único dispositivo ou número pode dar vantagem aos atacantes caso esse endpoint seja comprometido. É essencial que essas ferramentas incluam verificação robusta de múltiplos fatores e detecção de anomalias em segundo plano.
