Recentemente, os pesquisadores de segurança cibernética da Check Point Software observaram a manipulação de ferramentas dedicadas do Google – especificamente o Google Calendar e o Google Drawings – por parte de cibercriminosos. Muitos dos e-mails manipulados parecem legítimos porque aparentam vir diretamente do Google Agenda que, de acordo com o site Calendly.com, conta com mais de 500 milhões de usuários.
CONTEÚDO RELACIONADO: Pesquisa no ChatGPT leva a phishing, diz Kaspersky
Os cibercriminosos estão modificando os cabeçalhos de “remetente”, fazendo com que os e-mails pareçam ter sido enviados pelo Google Agenda em nome de uma pessoa conhecida e legítima. Até o momento, aproximadamente 300 marcas foram impactadas por essa campanha, com os pesquisadores analisando 2.300 desses e-mails de phishing em um período de duas semanas.
O objetivo dos cibercriminosos com essa campanha é enganar usuários para que cliquem em links ou anexos maliciosos, permitindo o roubo de informações corporativas ou pessoais. Essas informações são usadas em golpes financeiros, como fraudes com cartões de crédito, transações não autorizadas e outras atividades ilícitas semelhantes. Os dados roubados também podem ser utilizados para contornar medidas de segurança em outras contas, levando a novos comprometimentos.
Como o ataque se desenvolve
Esses ataques de phishing exploram inicialmente os recursos amigáveis do Google Agenda, utilizando links que levam ao Google Forms. Contudo, ao perceberem que produtos de segurança poderiam identificar convites de calendário maliciosos, os cibercriminosos evoluíram o ataque utilizando as capacidades do Google Drawings.
Os e-mails iniciais incluem um link ou um arquivo de calendário (.ics) com um link para o Google Forms ou Google Drawings. Então, é solicitado aos usuários que cliquem em outro link, frequentemente disfarçado como um botão de suporte ou reCAPTCHA falso. Após clicar no link, o usuário é redirecionado para uma página que se assemelha a uma landing page de mineração de criptomoedas ou suporte de Bitcoin.
Essas páginas são, na verdade, projetadas para executar golpes financeiros. Quando chegam a essas páginas, os usuários são orientados a completar um processo de autenticação falso, inserir informações pessoais e, eventualmente, fornecer dados de pagamento.
O ataque de phishing demonstrado abaixo começou inicialmente com um convite do Google Agenda. Alguns dos e-mails realmente se assemelham a notificações de calendário, enquanto outros utilizam um formato personalizado:
Como bloquear esse ataque
Para organizações que desejam proteger seus usuários contra esse tipo de ameaça de phishing e outras, considere as seguintes recomendações práticas:
- Soluções avançadas de segurança de e-mail – Soluções como o Harmony Email & Collaboration podem detectar e bloquear tentativas sofisticadas de phishing – mesmo quando manipulam plataformas confiáveis, como Google Agenda e Google Drawings. Soluções de alta qualidade incluem varredura de anexos, verificações de reputação de URLs e detecção de anomalias com base em IA.
- Monitore o uso de aplicativos de terceiros do Google – Utilize ferramentas de segurança cibernética que possam detectar e alertar sua organização sobre atividades suspeitas em aplicativos de terceiros.
- Implemente mecanismos robustos de autenticação – Uma das ações mais importantes que os administradores de segurança podem tomar é implementar a Autenticação de Múltiplos Fatores (MFA) em contas corporativas.
- Além disso, implemente ferramentas de análise comportamental que possam detectar tentativas de login incomuns ou atividades suspeitas, incluindo navegação para sites relacionados a criptomoedas.
Para os usuários finais preocupados com esses golpes alcançando suas caixas de entrada pessoais, considere as seguintes recomendações práticas:
- Desconfie de convites de eventos falsos – O convite possui informações inesperadas ou solicita que você realize etapas incomuns (como um CAPTCHA)? Se sim, evite interagir.
- Examine cuidadosamente o conteúdo recebido – Pense antes de clicar. Passe o mouse sobre os links e digite a URL no Google para acessar o site – esta é uma abordagem mais segura.
- Habilite a autenticação em dois fatores – Para contas do Google e outros repositórios de informações críticas, ative a autenticação em dois fatores (2FA). Caso suas credenciais sejam comprometidas, o 2FA pode impedir que cibercriminosos acessem a conta.
A declaração do Google sobre esta campanha informa o seguinte: “Recomendamos que os usuários ativem a configuração de ‘remetentes conhecidos’ no Google Agenda. Essa configuração ajuda na proteção contra esse tipo de phishing, alertando o usuário quando ele recebe um convite de alguém que não está na sua lista de contatos e/ou com quem não interagiu anteriormente por e-mail”.
Participe das comunidades IPNews no Instagram, Facebook, LinkedIn e X (Twitter).
