O Google Agenda (ou Google Calendar) é uma ferramenta projetada para organizar agendas e gerenciar o tempo, auxiliando pessoas e empresas no planejamento de seu dia a dia de forma eficiente. De acordo com o site Calendly.com, mais de 500 milhões de pessoas utilizam o Google Agenda, que está disponível em 41 idiomas diferentes.
Devido à sua popularidade e eficiência nas tarefas diárias, não é surpresa que o Google Agenda tenha se tornado alvo de cibercriminosos. Recentemente, os pesquisadores de segurança cibernética da Check Point Software observaram a manipulação de ferramentas dedicadas do Google – especificamente o Google Calendar e o Google Drawings – por parte de cibercriminosos. Muitos dos e-mails manipulados parecem legítimos porque aparentam vir diretamente do Google Agenda.
Os cibercriminosos estão modificando os cabeçalhos de “remetente”, fazendo com que os e-mails pareçam ter sido enviados pelo Google Agenda em nome de uma pessoa conhecida e legítima. Até o momento, aproximadamente 300 marcas foram impactadas por essa campanha, com os pesquisadores analisando 2.300 desses e-mails de phishing em um período de duas semanas.
Visão geral da ameaça
Como mencionado anteriormente, esses ataques de phishing exploram inicialmente os recursos amigáveis do Google Agenda, utilizando links que levam ao Google Forms.
Contudo, ao perceberem que produtos de segurança poderiam identificar convites de calendário maliciosos, os cibercriminosos evoluíram o ataque utilizando as capacidades do Google Drawings.
Motivações dos cibercriminosos
O objetivo dos cibercriminosos com essa campanha é enganar usuários para clicarem em links ou anexos maliciosos, permitindo o roubo de informações corporativas ou pessoais.
Depois que um indivíduo divulga inadvertidamente dados críticos, essas informações são usadas em golpes financeiros, como fraudes com cartões de crédito, transações não autorizadas e outras atividades ilícitas semelhantes. Os dados roubados também podem ser utilizados para contornar medidas de segurança em outras contas, levando a novos comprometimentos.
Tanto para as organizações como para os indivíduos, este tipo de golpe pode ser extremamente estressante, com efeitos prejudiciais a longo prazo.
Técnicas de execução do ataque
Os e-mails iniciais incluem um link ou um arquivo de calendário ([.]ics) com um link para o Google Forms ou Google Drawings.
Então, é solicitado aos usuários que cliquem em outro link, frequentemente disfarçado como um botão de suporte ou reCAPTCHA falso.
Após clicar no link, o usuário é redirecionado para uma página que se assemelha a uma landing page de mineração de criptomoedas ou suporte de Bitcoin.
Essas páginas são, na verdade, projetadas para executar golpes financeiros. Quando chegam a essas páginas, os usuários são orientados a completar um processo de autenticação falso, inserir informações pessoais e, eventualmente, fornecer dados de pagamento.
O ataque de phishing demonstrado abaixo começou inicialmente com um convite do Google Agenda. Alguns dos e-mails realmente se assemelham a notificações de calendário, enquanto outros utilizam um formato personalizado:
Se os convidados forem contatos conhecidos, um usuário pode acreditar na fraude, pois o restante da tela parece relativamente comum:
Como bloquear esse ataque
Para organizações que desejam proteger seus usuários contra esse tipo de ameaça de phishing e outras, considere as seguintes recomendações práticas:
Soluções avançadas de segurança de e-mail – Soluções podem detectar e bloquear tentativas sofisticadas de phishing – mesmo quando manipulam plataformas confiáveis, como Google Agenda e Google Drawings. Soluções de alta qualidade incluem varredura de anexos, verificações de reputação de URLs e detecção de anomalias com base em IA.
Monitore o uso de aplicativos de terceiros do Google – Utilize ferramentas de segurança cibernética que possam detectar e alertar sua organização sobre atividades suspeitas em aplicativos de terceiros.
Implemente mecanismos robustos de autenticação – Uma das ações mais importantes que os administradores de segurança podem tomar é implementar a Autenticação de Múltiplos Fatores (MFA) em contas corporativas.
Além disso, implemente ferramentas de análise comportamental que possam detectar tentativas de login incomuns ou atividades suspeitas, incluindo navegação para sites relacionados a criptomoedas.
Para os usuários finais preocupados com esses golpes alcançando suas caixas de entrada pessoais, considere as seguintes recomendações práticas:
Desconfie de convites de eventos falsos – O convite possui informações inesperadas ou solicita que você realize etapas incomuns (como um CAPTCHA)? Se sim, evite interagir.
Examine cuidadosamente o conteúdo recebido – Pense antes de clicar. Passe o mouse sobre os links e digite a URL no Google para acessar o site – esta é uma abordagem mais segura.
Habilite a autenticação em dois fatores – Para contas do Google e outros repositórios de informações críticas, ative a autenticação em dois fatores (2FA). Caso suas credenciais sejam comprometidas, o 2FA pode impedir que cibercriminosos acessem a conta.
A declaração do Google sobre esta campanha informa o seguinte: “Recomendamos que os usuários ativem a configuração de ‘remetentes conhecidos’ no Google Agenda. Essa configuração ajuda na proteção contra esse tipo de phishing, alertando o usuário quando ele recebe um convite de alguém que não está na sua lista de contatos e/ou com quem não interagiu anteriormente por e-mail.”
