Notificações do Google Agenda driblam políticas de segurança de e-mail
De acordo com a Check Point Software, até agora, cerca de 300 marcas foram afetadas por essa campanha, e 2.300 destes e-mails de phishing foram observados em um período de duas semanas
O Google Agenda (ou Google Calendar) é uma ferramenta projetada para organizar agendas e gerenciar o tempo, auxiliando pessoas e empresas no planejamento de seu dia a dia de forma eficiente. De acordo com o site Calendly.com, mais de 500 milhões de pessoas utilizam o Google Agenda, que está disponível em 41 idiomas diferentes.
Devido à sua popularidade e eficiência nas tarefas diárias, não é surpresa que o Google Agenda tenha se tornado alvo de cibercriminosos. Recentemente, os pesquisadores de segurança cibernética da Check Point Software observaram a manipulação de ferramentas dedicadas do Google – especificamente o Google Calendar e o Google Drawings – por parte de cibercriminosos. Muitos dos e-mails manipulados parecem legítimos porque aparentam vir diretamente do Google Agenda.
Os cibercriminosos estão modificando os cabeçalhos de “remetente”, fazendo com que os e-mails pareçam ter sido enviados pelo Google Agenda em nome de uma pessoa conhecida e legítima. Até o momento, aproximadamente 300 marcas foram impactadas por essa campanha, com os pesquisadores analisando 2.300 desses e-mails de phishing em um período de duas semanas.
Visão geral da ameaça
Como mencionado anteriormente, esses ataques de phishing exploram inicialmente os recursos amigáveis do Google Agenda, utilizando links que levam ao Google Forms.
Contudo, ao perceberem que produtos de segurança poderiam identificar convites de calendário maliciosos, os cibercriminosos evoluíram o ataque utilizando as capacidades do Google Drawings.
Motivações dos cibercriminosos
O objetivo dos cibercriminosos com essa campanha é enganar usuários para que cliquem em links ou anexos maliciosos, permitindo o roubo de informações corporativas ou pessoais.
Depois que um indivíduo divulga inadvertidamente dados críticos, essas informações são usadas em golpes financeiros, como fraudes com cartões de crédito, transações não autorizadas e outras atividades ilícitas semelhantes. Os dados roubados também podem ser utilizados para contornar medidas de segurança em outras contas, levando a novos comprometimentos.
Tanto para as organizações como para os indivíduos, este tipo de golpe pode ser extremamente estressante, com efeitos prejudiciais a longo prazo.
Técnicas de execução do ataque
Os e-mails iniciais incluem um link ou um arquivo de calendário ([.]ics) com um link para o Google Forms ou Google Drawings.
Então, é solicitado aos usuários que cliquem em outro link, frequentemente disfarçado como um botão de suporte ou reCAPTCHA falso.
Após clicar no link, o usuário é redirecionado para uma página que se assemelha a uma landing page de mineração de criptomoedas ou suporte de Bitcoin.
Essas páginas são, na verdade, projetadas para executar golpes financeiros. Quando chegam a essas páginas, os usuários são orientados a completar um processo de autenticação falso, inserir informações pessoais e, eventualmente, fornecer dados de pagamento.
O ataque de phishing demonstrado abaixo começou inicialmente com um convite do Google Agenda. Alguns dos e-mails realmente se assemelham a notificações de calendário, enquanto outros utilizam um formato personalizado:
Exemplo de e-mail de ataque de phishing inicial
Se os convidados forem contatos conhecidos, um usuário pode acreditar na fraude, pois o restante da tela parece relativamente comum:
Configuração do Google Agenda
Como bloquear esse ataque
Para organizações que desejam proteger seus usuários contra esse tipo de ameaça de phishing e outras, considere as seguintes recomendações práticas:
- Soluções avançadas de segurança de e-mail – Soluções como o Harmony Email & Collaboration podem detectar e bloquear tentativas sofisticadas de phishing – mesmo quando manipulam plataformas confiáveis, como Google Agenda e Google Drawings. Soluções de alta qualidade incluem varredura de anexos, verificações de reputação de URLs e detecção de anomalias com base em IA.
- Monitore o uso de aplicativos de terceiros do Google – Utilize ferramentas de segurança cibernética que possam detectar e alertar sua organização sobre atividades suspeitas em aplicativos de terceiros.
- Implemente mecanismos robustos de autenticação – Uma das ações mais importantes que os administradores de segurança podem tomar é implementar a Autenticação de Múltiplos Fatores (MFA) em contas corporativas.
Além disso, implemente ferramentas de análise comportamental que possam detectar tentativas de login incomuns ou atividades suspeitas, incluindo navegação para sites relacionados a criptomoedas.
Para os usuários finais preocupados com esses golpes alcançando suas caixas de entrada pessoais, considere as seguintes recomendações práticas:
- Desconfie de convites de eventos falsos – O convite possui informações inesperadas ou solicita que você realize etapas incomuns (como um CAPTCHA)? Se sim, evite interagir.
- Examine cuidadosamente o conteúdo recebido – Pense antes de clicar. Passe o mouse sobre os links e digite a URL no Google para acessar o site – esta é uma abordagem mais segura.
- Habilite a autenticação em dois fatores – Para contas do Google e outros repositórios de informações críticas, ative a autenticação em dois fatores (2FA). Caso suas credenciais sejam comprometidas, o 2FA pode impedir que cibercriminosos acessem a conta.
A declaração do Google sobre esta campanha informa o seguinte: “Recomendamos que os usuários ativem a configuração de ‘remetentes conhecidos’ no Google Agenda. Essa configuração ajuda na proteção contra esse tipo de phishing, alertando o usuário quando ele recebe um convite de alguém que não está na sua lista de contatos e/ou com quem não interagiu anteriormente por e-mail.”
Para as organizações, a Check Point Software orienta a atualização da solução de segurança de e-mail e disponibiliza uma demonstração do Harmony Email & Collaboration.
Veja também:
- Exploração de links simbólicos permite desvio de TCC no iOS e macOS
- Atualização de segurança da Dell
- Apache emite patches para bug crítico do Struts 2 RCE
- Microsoft suspende bloqueio do Windows 11 24H2 em PCs com scanners USB
- Patch Tuesday da Microsoft corrige dia zero explorado
- Novo malware rootkit furtivo Pumakit Linux detectado na natureza
- Microsoft disponibiliza novos serviços de Azure
- Exploits e vulnerabilidades no 3º trimestre de 2024
- Os códigos QR ignoram o isolamento do navegador para comunicação C2 maliciosa
- Black Basta Ransomware evolui
- Ataques de Engenharia Social sofisticados com IA
- 2025: ano crucial para investir em planos de disaster recovery
Be the first to comment