Golpes, Inteligência de Ameaças

Estes avisos de direitos de autor convincentes foram concebidos para roubar dados de início de sessão do Google

por Stefan Dasic | 2 de junho de 2026
Golpe relacionado com direitos de autor do Google
Adicionar como fonte preferencial no Google

Um novo esquema está a visar as pessoas que publicam Chrome .

O esquema surge sob a forma de um «pedido de remoção por violação de direitos de autor» com aparência oficial, alegando que a sua extensão está prestes a ser removida da Chrome Store e que tem 48 horas para apresentar um recurso.

Até parece personalizado. Depois de introduzir o ID da sua extensão para a «verificar», a página apresenta o nome e o ícone reais da sua extensão. Mas tudo isto faz parte de um ataque de phishing concebido para roubar o seu nome de utilizador e palavra-passe do Google.

Se os atacantes conseguirem aceder a uma conta de programador, poderão assumir o controlo da extensão, aceder a recursos de programador ou, potencialmente, enviar atualizações maliciosas aos utilizadores.

O que se passa, afinal?

Se publicou uma Chrome , poderá deparar-se com uma página que se assemelha a um aviso oficial do Google, alertando que a sua extensão está a ser removida por violação de direitos de autor.

A página pede-lhe que introduza o ID da sua extensão e, em seguida, apresenta os detalhes reais da sua extensão, juntamente com um número de reclamação e um relógio de contagem decrescente. A página pressiona-o a iniciar sessão com a sua conta Google para apresentar um recurso antes que o tempo se esgote.

Nada disso é verdade. A página não é gerida pelo Google. A reclamação, o prazo e a contagem decrescente são falsos. O objetivo é induzir-te a introduzir o teu nome de utilizador e palavra-passe do Google numa janela de início de sessão falsa controlada pelo burlão.

A regra mais importante a ter em conta: os avisos genuínos relativos à sua extensão aparecem no painel de controlo do programador Chrome Store, e não num site de terceiros.

Por que razão os burlões querem contas de programador

Chrome têm acesso aos navegadores dos utilizadores e podem ser atualizadas automaticamente.

Se os atacantes conseguirem assumir o controlo de uma conta de programador, poderão modificar uma extensão, aceder a recursos de programador ou, potencialmente, distribuir atualizações maliciosas aos utilizadores existentes.

É isso que torna as contas de programadores alvos tão atraentes e explica por que razão esquemas fraudulentos como estes são tão comuns.

Como funciona o esquema

A página está alojada num domínio que não tem qualquer relação com o Google. Na versão que analisámos, o site utilizava o endereço dmca-chrome-extensions[.]click.

Apesar disso, utiliza a marca do Google e apresenta-se como um «Centro de Políticas para DesenvolvedoresChrome Store».

A página pede primeiro o link ou o ID da sua extensão. Parece inofensivo, e é precisamente por isso que funciona.

Pedido falso de remoção por violação de direitos de autor, que se faz passar por um pedido da Chrome Store.

Utiliza a sua própria extensão para parecer convincente

Depois de introduzir o ID da sua extensão, a página exibe brevemente a mensagem «A procurar a extensão…» e, em seguida, cria um aviso de remoção falso em torno da sua extensão real.

Quando testámos o esquema com Malwarebytes Browser Guard, este apresentou o nome, o ícone e a ficha da nossa extensão genuína na Chrome Store, juntamente com a falsa queixa.

O site falso, que recolhe informações disponíveis publicamente sobre a sua extensão.

O site limita-se a extrair informações disponíveis publicamente da página da sua extensão Chrome Store. Qualquer pessoa pode ver essas informações. Os burlões utilizam-nas para fazer com que o aviso falso pareça legítimo.

Tudo o resto é inventado.

O número da reclamação, a «data de receção», o prazo de 48 horas, o temporizador de contagem decrescente e a cronologia dos acontecimentos são gerados pela própria página fraudulenta.

A contagem decrescente serve para te apressar

Uma faixa de aviso vermelha avisa que a sua extensão será removida definitivamente, a menos que tome medidas dentro de 48 horas, e um relógio faz a contagem decrescente, segundo a segundo. Todo o layout o direciona para um único botão: inicie sessão com a Google para «verificar a sua identidade» e apresentar o seu recurso. 

A sensação de urgência tem como objetivo criar pressão para que reaja antes de ter tempo para verificar a afirmação.

A janela de início de sessão falsa

Quando clica em «Continuar para a verificação», surge uma janela de início de sessão do Google com uma barra de título, um cadeado e o endereço accounts.google.com.

Janela de início de sessão apelativa

Parece autêntico, mas não é.

A «janela» faz, na verdade, parte da própria página web. O cadeado e o endereço são apenas elementos gráficos concebidos para se parecerem com uma janela de navegador real.

Os burlões chegam mesmo a adaptar a aparência para se adequar ao seu sistema operativo, apresentando windows Mac windows macOS e windows Windows windows Windows .

Tudo o que for digitado neste formulário de início de sessão falso é enviado diretamente para os burlões.

Um indício é que a janela não pode sair da página do navegador. Tente arrastá-la até à borda do ecrã e ela pára na borda do navegador. Se minimizar o navegador, ela também desaparece.

Mais importante ainda, a barra de endereços real do seu navegador continua a mostrar o endereço do site fraudulento, e não o do Google.

Como se manter seguro

A boa notícia é que basta adotar alguns hábitos simples para evitar este esquema.

  • Não confie no link. Se receber um aviso sobre a sua extensão, aceda diretamente ao painel de controlo do programador na Chrome Store e verifique lá.
  • Desconfie da pressa. Os processos políticos legítimos não recorrem a contagens decrescentes para forçar uma ação imediata.
  • Verifique a barra de endereços. A página de início de sessão verdadeira do Google aparece em accounts.google.com na barra de endereços do seu navegador.
  • Teste a janela. Se uma janela de início de sessão não puder ser arrastada para fora do navegador ou desaparecer quando o navegador for minimizado, é provável que seja falsa.
  • Ative uma proteção de início de sessão mais robusta. As chaves de acesso e as chaves de segurança de hardware tornam as palavras-passe roubadas muito menos úteis para os atacantes.
  • Utilize software de segurança com proteção contra phishing e na Web. O nosso Browser Guard, que também faz parte do Malwarebytes Premium , pode ajudar a bloquear sites maliciosos e páginas de phishing antes de introduzir informações confidenciais.

Esta não é uma página de phishing rudimentar. Utiliza os dados reais da sua extensão, imita a identidade visual do Google e cria uma sensação convincente de urgência.

Se receber um aviso sobre a sua extensão, não clique no link e não tente apressar a contagem decrescente. Aceda diretamente ao painel de controlo do programador na Chrome Store e verifique a reclamação nesse local.

Em caso de dúvida, feche o separador.

Se já introduziu os seus dados

Aja rapidamente.

  • Altere a sua palavra-passe do Google imediatamente a partir de um dispositivo de confiança.
  • Saia de todas as sessões ativas nas definições de segurança da sua conta Google.
  • Verifique as aplicações e os dispositivos ligados para ver se há algo que não reconheça.
  • Ative a verificação em duas etapas, de preferência utilizando uma chave de acesso ou uma chave de segurança.
  • Verifique as suas listagens na Chrome Store para ver se há alterações, uploads ou novas versões que não tenha publicado.

Indicadores de compromisso (IOCs)

Domínio

dmca-chrome-extensions[.]click

Impedir as ameaças antes que causem qualquer dano.

Browser Guard Malwarebytes Browser Guard automaticamente páginas de phishing e sites maliciosos. É gratuito e instala-se com um clique. Adicione-o ao seu navegador →

Sobre o autor

Stefan Dasic

Stefan Dasic

Apaixonado por soluções antivírus, Stefan tem estado envolvido em testes de malware e controlo de qualidade de produtos AV desde muito cedo. Como parte da equipa Malwarebytes , Stefan dedica-se a proteger os clientes e a garantir a sua segurança.

ÚLTIMOS ARTIGOS

Telemóvel
Telemóvel

Os falsos alertas de vírus estão a invadir os jogos para dispositivos móveis

junho 2, 2026

«O seu dispositivo está infetado!» Avisos falsos sobre contas e alertas de vírus estão a transformar alguns anúncios dentro dos jogos em armadilhas de malware.

Privacy

A falsa BlueWallet rouba palavras-passe, contas e criptomoedas de computadores Mac

junho 1, 2026

Um download falso do BlueWallet induz Mac a executarem malware que rouba palavras-passe, carteiras de criptomoedas e dados da área de transferência.

Notícias
semana da segurança

Uma semana no mundo da segurança (maio 25 – maio 31)

junho 1, 2026

Uma lista dos temas que abordámos na semana de 25 a 31 de maio de 2026

Adicionar como fonte preferencial no Google

Artigos relacionados

Ícone dos contribuidores

Contribuintes

Ícone do Centro de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de burla

Fraudes