Foram os investigadores da Avanan que, ainda em dezembro, descobriram uma campanha de phishing que tinha como alvo principalmente os utilizadores do Outlook, e que se aproveita da funcionalidade dos comentários para enviar mensagens de caráter malicioso.

Tudo o que o atacante precisa de fazer é criar um documento com uma conta google, e nesse documento adicionar um comentário que se refira a uma pessoa alvo com um "@" para automaticamente mandar a mensagem - e a partir daqui, já parece que vem do Google. O comentário terá incluído links maliciosos mas não aparece o email nem o nome do atacante. Desta forma, a pessoa alvo vai receber a mensagem de que há um comentário no documento que a menciona.

Solução / evitar ser vítima deste ataque

- Veja os emails que estiverem no comentário

- Caso veja algum link no comentário, tenha sentido crítico

- Caso o email venha de um contacto seu, verifique com a pessoa em questão

- Tenha em mãos uma solução que promova a proteção de grupos de colaboração e/ou partilha de ficheiros

Mais informações: https://threatpost.com/attackers-exploit-flaw-google-docs-comments/177412/

Investigação da Avanan: https://www.avanan.com/blog/google-docs-comment-exploit-allows-for-distribution-of-phishing-and-malware