No final de março, o Google anunciou que descontinuaria em breve seu encurtador oficial de URLs, o Goo.gl. Mas antes que ele desapareça, algumas pessoas estão se aproveitando de links curtos para aplicar golpes com ajuda do Google Maps.

De acordo com a descoberta da empresa de segurança Sophos, os golpistas estão usando uma brecha nas URLs do Google Maps, conhecida como vulnerabilidade de "redirecionamento aberto", que permite um link aparentemente inofensivo redirecionar para outra página, sem o conhecimento do usuário.

Esse problema de redirecionamento aberto faz o golpe passar por todas as verificações de segurança que o Google realiza ao criar uma nova URL, e pode ajudar um atacante a realizar ataques de phishing ou distribuição de trojans.

Assim, os golpistas criam uma URL que leva diretamente a algum site fraudulento criado por eles, onde a vítima será bombardeada com ofertas para comprar coisas, tentativas de roubar dados sensíveis ou de infectar o PC.

Pior ainda, se o endereço do Google Maps modificado for encurtado por um serviço como o Goo.gl, as vítimas ficam ainda mais propensas a clicar, dependendo de como o link for distribuído.

Se o site fraudulento for vinculado diretamente, as verificações automáticas do Google farão o trabalho de recusar o acesso ao link; porém, o Google Maps funciona perfeitamente para esse propósito, pois o browser vai interpretar como um direcionamento para o Google Maps.

Mas como isso é feito na prática? Como exemplo, confira a seguinte URL do Google Maps, que foi modificada para acessar um outro site, o example.org: https://maps.app.goo.gl/?link=https%3A%2F%2Fexample.org.

Este link passaria por qualquer teste do serviço de encurtamento de URL, mas, quando clicado, carregaria uma página da Web completamente diferente do que o usuário esperaria. O mesmo aconteceria caso o link estivesse apontando para um site malicioso.

Embora o Goo.gl tenha sido fechado para a criação de novos links encurtados, as URLs já existentes criadas neste serviço continuam a funcionar indefinidamente. Assim, os links maliciosos já criados explorando a vulnerabilidade do Google Maps podem continuar circulando na Web.

Modificar o link de exemplo acima para direcionar a um site malicioso é fácil para os golpistas, e não é algo que pode ser facilmente detectado. A solução para o problema pode vir por meio de uma correção do sistema de verificação, mas o Google aparentemente sabe sobre essa vulnerabilidade desde setembro do ano passado e essa correção ainda não foi implementada.