DEV Community

Mr Punk da Silva
Mr Punk da Silva

Posted on

Como uma Ligação Falsa do Suporte Google e 2FA Sincronizado na Nuvem Custou US$130.000 a um Desenvolvedor

#news #programming #cybersecurity #discuss

Em junho de 2025, o engenheiro de design David Scoville atendeu a uma ligação que parecia ser do suporte oficial do Google. Em poucos minutos, ao fornecer um “código de verificação” por telefone, ele perdeu o acesso à conta Google, às chaves do Authenticator em nuvem e, por fim, US$80 000 em ETH stakeados, equivalentes a aproximadamente US$130 000 hoje, após ter sua conta Coinbase esvaziada.

📰 Cobertura no CyNews: https://cynews.vercel.app/show/45264726

📎 Texto original: “I Was Scammed Out of \$130,000—And Google Helped It Happen” by David Scoville (Substack)

Como o golpe aconteceu

  • A ligação

    • Número de origem exibido como escritório do Google em Pacifica.
    • O golpista alegou que havia uma solicitação de “alteração baseada em certidão de óbito”.
    • Enviou depois um e-mail de legal@google.com, assinado por “Norman Zhu”.

  • O truque do código

    • Em pânico, Scoville leu em voz alta um código de segurança enviado pelo golpista, alegadamente para provar que ainda estava vivo.
    • Esse único ato deu ao invasor acesso total à sessão Google e às chaves de 2FA sincronizadas.

  • O estrago

    • O invasor acessou Gmail, Drive, Fotos e Google Authenticator em nuvem.
    • Em 40 minutos, drenou o ETH stakeado e esvaziou a conta Coinbase de Scoville.

Onde o Google deixou brechas

  • E-mails falsos parecendo vir de @google.com passaram pelos filtros do Gmail, e no iOS o usuário não conseguiu inspecionar cabeçalhos completos.
  • O Authenticator sincronizado por padrão transformou a segunda fator “algo que você possui” em um token recuperável na nuvem exatamente o que o golpista precisava.

Lições da comunidade

Nos comentários do CyNews, desenvolvedores e entusiastas reforçaram:

  • Nunca compartilhe códigos de verificação por telefone ou e-mail.
  • Sempre retorne a ligação para um número oficial que você já tenha validado.
  • Considere o 2FA sincronizado na nuvem como fator único; adote chaves físicas ou autenticação offline.
  • Não atenda chamadas de números desconhecidos — deixe eles deixarem mensagem e confirme depois por canais oficiais.

Boas práticas para se proteger

  1. Use chaves de hardware (YubiKey, smart cards) para contas críticas.
  2. Desative a sincronização em nuvem em apps de autenticação, mantenha segredos TOTP localmente.
  3. Jamais leia códigos de 2FA em voz alta ou encaminhe por telefone/e-mail.
  4. Em caso de suspeita, desligue e ligue de volta no número oficial do suporte.
  5. Separe sua conta de e-mail principal das plataformas financeiras e de trabalho.

Considerações finais

Até profissionais de segurança podem cair em golpes de engenharia social bem executados. Entender como configurações padrão e limitações de interface podem ser exploradas ajuda a construir defesas mais sólidas. Se esta história fizer alguém hesitar antes de ler um “código urgente” em voz alta, já terá valido a pena compartilhar.

🔗 Substack original: https://bewildered.substack.com/p/i-was-scammed-out-of-130000-and-google

📰 Discussão no CyNews: https://cynews.vercel.app/show/45264726

Top comments (0)