• Falsificação do Google Calendar: Como os atacantes o utilizam para esquemas de phishing

Falsificação do Google Calendar: Como os atacantes o utilizam para esquemas de phishing

Blog

A falsificação do Google Calendar é a mais recente tática de phishing que engana os utilizadores com convites falsos. Saiba como funciona e como se pode proteger destas burlas.

por Milena Baghdasaryan

Tempo de leitura: 8 min
Falsificação do Google Calendar: Como os atacantes o utilizam para esquemas de phishing
Índice-

Nos últimos meses, os especialistas em cibersegurança têm-se preocupado cada vez mais com uma forma complicada de esquemas de phishing - o Google Calendar spoofing. Neste ataque complexo e sofisticado, os atacantes enviam convites para reuniões de aspeto legítimo, mas falsos, que redireccionam os convidados para sites de phishing. Estes sites são muito semelhantes à plataforma oficial do Google, o que torna estes ataques ainda mais perigosos e leva os utilizadores a introduzir informações sensíveis ou a clicar em links maliciosos.

Os investigadores da Check Point descobriram recentemente um caso de falsificação do Google Calendar em que os piratas informáticos visaram 300 organizações com mais de 4.000 convites de calendário falsificados em apenas quatro semanas. Um alcance tão grande mostra como a falsificação do Google Calendar pode ser perigosa e torna imperativo detetar e prevenir tais ataques.

Takeaways de chaves

  • Os cibercriminosos aproveitam as funcionalidades do Google Calendar para enviar e-mails de phishing que parecem ser convites legítimos.
  • O Google Calendar tem mais de 500 milhões de utilizadoreso que torna esta plataforma um alvo vulnerável, cuja exploração pode pôr em perigo milhões de utilizadores de todo o mundo.
  • Os piratas informáticos utilizam ferramentas incorporadas, como o Google Forms e o Google Drawings, o que torna estes ataques ainda mais perigosos. 
  • Em apenas quatro semanas, foram detectados mais de 4.000 e-mails de phishing no âmbito de uma campanha de falsificação do Google Calendar, que afectou cerca de 300 marcas.
  • As principais medidas de segurança incluem ativar a opção "Remetentes conhecidos", evitar convites suspeitos e reforçar a segurança do correio eletrónico.

Como funciona a falsificação do Google Calendar

Abaixo estão alguns passos comuns de uma tentativa bem sucedida de falsificação do Google Calendar: 

Explorar as funcionalidades do convite para o calendário

Falsificação do Google Calendar

Os atacantes exploram as caraterísticas de fácil utilização do Google Calendar para enviar e-mails de phishing que parecem ser convites legítimos para reuniões. Na fase inicial, os piratas informáticos exploraram as funcionalidades inerentes ao Google Calendar e incluíram links que direccionavam para o Google Forms. No entanto, o ataque tornou-se ainda mais complexo e perigoso ao longo do tempo, à medida que os atacantes se aperceberam de que os filtros de segurança e os gateways eram capazes de assinalar os convites maliciosos do Calendário. 

Atualmente, o ataque evoluiu para se alinhar com as capacidades do Google Drawings. Muitas vezes, as ligações para o Google Form, o Google Drawings ou os anexos de ficheiros ICS contêm um CAPTCHA ou um botão de suporte.

Falha por defeito do Google Calendar

Por predefinição, o Google adiciona automaticamente convites de calendário ao calendário de um utilizador, mesmo que o convite não tenha sido solicitado. Os atacantes aproveitam-se desta situação para inserir links maliciosos nos calendários dos utilizadores sem que seja necessária uma interação por correio eletrónico.

Manipulação de cabeçalhos de correio eletrónico e falsificação de remetente

Os investigadores descobriram que os cibercriminosos podem contornar os filtros de spam enviando convites de phishing através do Google Calendar, porque os e-mails parecem vir de um serviço Google legítimo. Uma vez que os atacantes usam o Google Calendar, os cabeçalhos dos e-mails parecem reais e não podem ser distinguidos dos convites genuínos do calendário. Os investigadores partilharam um instantâneo destes cabeçalhos, mostrando que os e-mails de phishing chegaram às caixas de entrada porque passaram nas verificações de segurança DKIM, SPF e DMARC.

Os atacantes podem também cancelar o evento do calendário e adicionar uma nota, que é enviada por e-mail aos participantes, duplicando efetivamente o número de e-mails de phishing enviados. Esta mensagem pode incluir uma hiperligação - por exemplo, para o Google Drawings - para induzir as vítimas a visitar sites de phishing.

Os e-mails de phishing do Google Calendar incluem um ficheiro de calendário (.ics) com uma ligação para o Google Forms ou o Google Drawings. Assim que o destinatário clica na primeira ligação, é-lhe pedido que clique noutra ligação maliciosa, que aparece frequentemente sob a forma de um reCAPTCHA ou de um botão de suporte.

Estas tácticas são bastante comuns em e-mails de phishingque são concebidos para enganar os destinatários, levando-os a revelar informações sensíveis ou a realizar acções que beneficiem o cibercriminoso. Reconhecer estas caraterísticas comuns dos e-mails de phishing pode ajudá-lo a manter-se protegido online e a não ser vítima de tais esquemas.

Páginas de suporte falsas e fraudes com criptomoedas

Depois de clicar na ligação maliciosa, as vítimas são redireccionadas para sites fraudulentos concebidos para roubar informações pessoais ou dados empresariais. Estas páginas imitam frequentemente páginas de destino de mineração de moeda criptográfica, sites de apoio à Bitcoin ou processos de autenticação falsos com o objetivo de recolher detalhes sensíveis e informações de pagamento.

Porque é que o Google Calendar é um alvo para os burlões

O Google Calendar é uma das plataformas mais utilizadas em todo o mundo; mais de 500 milhões de utilizadores de todo o mundo utilizam esta plataforma para agendar as suas reuniões e gerir o seu tempo. Faz parte do Espaço de trabalho Google e está disponível em 41 línguas.

Os convites do Calendário são muitas vezes mais confiáveis do que os e-mails de phishing normais, uma vez que os utilizadores estão habituados a recebê-los e a interagir com eles regularmente. Este facto também contribui para o sucesso e eficácia dos ataques de falsificação do Google Calendar. 

O impacto dos esquemas de phishing do Google Calendar

Calendário Google As burlas de phishing podem levar a grandes perdas financeiras e violações de dados, tanto para indivíduos como para organizações. Quando os atacantes roubam informações pessoais e financeiras, podem utilizá-las para fraudes com cartões de crédito, transacções não autorizadas ou para contornar medidas de segurança noutras contas.

O recente ataque afectou cerca de 300 marcas de uma vasta gama de sectores, incluindo instituições de ensino, serviços de saúde, empresas de construção e bancos.

Para mitigar os riscos associados a estes ataques, as organizações devem implementar proteção contra falsificação de domínio de domínio. Estas podem ajudar a evitar a utilização não autorizada do nome de domínio de uma empresa em tentativas de phishing e outras actividades fraudulentas.

O último ataque: 300 organizações visadas na falsificação do Google Calendar

Os investigadores da Check Point identificaram uma complexa campanha de phishing que enviou mais de 4.000 convites de calendário falsificados a 300 organizações em apenas quatro semanas. Os atacantes manipularam os cabeçalhos dos e-mails para fazer com que os convites parecessem legítimos, como se tivessem sido enviados pelo Google Calendar em nome de indivíduos conhecidos, fiáveis e legítimos.

A principal motivação dos atacantes era o ganho financeiro, uma vez que pretendiam enganar os utilizadores para que fornecessem informações sensíveis ou acedessem a dados empresariais. Esta informação ajudaria os cibercriminosos a cometer fraudes com cartões de crédito, transacções não autorizadas e a contornar medidas de segurança noutras contas.

O ataque começa normalmente com um ficheiro de calendário (.ics) ou com ligações a páginas de apoio falsas incorporadas nos e-mails de phishing. Os utilizadores eram então convidados a completar os passos de autenticação, a introduzir informações pessoais e a fornecer detalhes de pagamento em páginas de destino fraudulentas, muitas vezes disfarçadas de sites de mineração de criptomoedas ou de apoio à Bitcoin.

Resposta da Google e medidas de segurança

Ativar a definição "Remetentes conhecidos

Um passo útil para evitar a falsificação do Google Calendar é utilizar a definição "Known Senders" (Remetentes conhecidos) no Google Calendar. De facto, a própria Google recomenda a utilização desta funcionalidade em resposta aos esquemas de falsificação do Google Calendar que têm prevalecido. Como declarado por um porta-voz da Google, ativar a definição "Only If The Sender Is Known" (Apenas se o remetente for conhecido) no Google Calendar "ajuda a defender-se contra este tipo de phishing, alertando o utilizador quando recebe um convite de alguém que não está na sua lista de contactos e/ou com quem não interagiu no passado a partir do seu endereço de e-mail".

Práticas gerais de segurança sugeridas pelo Google

Para além da utilização da definição específica "Remetentes conhecidos", a Google também tem algumas sugestões gerais para práticas de segurança online melhores e mais eficazes. Por exemplo, os utilizadores podem tentar: 

  • Rever e ajustar periodicamente as definições do calendário.
  • Ser cauteloso com convites inesperados, especialmente aqueles que pedem para tomar algum tipo de ação suspeita. Saber como identificar alertas de segurança alertas de segurança do Google pode ajudar a proteger-se contra tentativas sofisticadas de phishing.
  • Verificar o endereço de correio eletrónico do remetente antes de aceitar os convites

Dicas de especialistas para se proteger do phishing de calendário

Seja cauteloso com os convites para eventos

Deve examinar cuidadosamente os convites inesperados e os detalhes do remetente para detetar possíveis inconsistências, erros ou qualquer outra coisa que pareça suspeita. Preste especial atenção ao tipo de convites que tentam criar uma sensação de urgência, FOMO, ou que solicitam uma ação imediata. Pode utilizar ferramentas de análise de comportamento para detetar atividade invulgar na conta. 

Antes de clicar em qualquer hiperligação, deve passar o rato sobre ela para verificar o URL. Isto dar-lhe-á, pelo menos, uma ideia básica do que se trata a ligação. No que diz respeito às hiperligações, também pode utilizar soluções avançadas de segurança de correio eletrónico com verificações da reputação do URL. Outra dica útil é não descarregar anexos de fontes desconhecidas, uma vez que estes podem ser maliciosos e infetar o seu dispositivo com todo o tipo de vírus. 

Reforçar a segurança da conta

Para aumentar a segurança da sua conta, certifique-se de que ativa a autenticação de dois factores (2FA) na sua conta Google. No caso de as suas credenciais serem comprometidas, a 2FA pode ajudar a impedir que os piratas informáticos acedam à conta da vítima. Além disso, utilize palavras-passe fortes e únicas para cada conta online e certifique-se de que não contêm informações pessoais (por exemplo, nome, data de nascimento, etc.) que possam ser facilmente adivinhadas pelos piratas informáticos. Tente atualizar regularmente as definições de segurança em todos os serviços Google, mantendo também o seu sistema operativo e aplicações actualizados. 

Cumprir os regulamentos

Muitas vezes, os requisitos não se destinam a punir o utilizador ou a complicar-lhe a vida, mas sim a proporcionar-lhe o maior grau de proteção possível. O Google e o Yahoo introduziram recentemente novos requisitos de autenticação de correio eletrónico para remetentes em massa, que obrigam os remetentes que enviam mais de 5.000 e-mails por dia a implementar os protocolos SPF, DKIM e DMARC. Os remetentes de correio eletrónico em massa terão de autenticar os seus e-mails, permitir opções fáceis de anulação da subscrição e manter as taxas de spam abaixo de 0,3%. Estas medidas foram concebidas para proteger os utilizadores de tentativas de phishing e outras actividades de correio eletrónico malicioso.

A natureza evolutiva das campanhas de phishing

As medidas de segurança melhoram, mas as técnicas dos atacantes também. Por exemplo, depois de se aperceberem que os seus esquemas podiam ser detectados quando utilizavam o Google Forms, mudaram para o Google Drawings para um ataque mais sofisticado e inesperado. Se conseguiram chegar ao Google Drawings, é muito provável que também consigam chegar a outros serviços Google habitualmente utilizados, como o Docs e o Drive, para efetuar o seu próximo ataque. Por conseguinte, é importante ser flexível e ter cuidado com todas as plataformas que utiliza, tanto no Google Workspace como fora dele.

Nota final

Dada a utilização frequente do Google Calendar nas comunicações online, os esquemas de phishing que visam o Google Calendar requerem uma atenção especial e ação imediata. Um ataque recente mostrou como estes ataques podem ser rápidos e eficazes, pelo que é crucial para a sua segurança online ter cuidado e seguir as recomendações da Google e dos especialistas sobre este tópico. 

Deve verificar sempre os convites inesperados, especialmente os que solicitam acções, e verificar os URL antes de clicar em ligações de eventos do calendário. A utilização da autenticação multifactor (MFA) e de palavras-passe seguras também pode ajudar a melhorar a sua segurança contra estes ataques de phishing. Embora estes ataques possam parecer muito complexos e versáteis, é possível manter-se protegido mesmo contra os ciberataques mais sofisticados se tiver os conhecimentos e competências necessários e a "higiene" digital correta. 

FAQs

Porque é que continuo a receber convites de calendário de spam?

O Calendário Google tem uma definição dedicada que lhe permite controlar e gerir a forma como os convites são adicionados ao seu Calendário. 

  1. Abrir Calendário Google.
  2. No canto superior direito, clique em Definições.
  3. À esquerda, em "Geral", clique em Definições de eventos e, em seguida, em "Adicionar convites ao meu calendário".
  4. Selecionar uma das opções disponíveis: 
    1. "De todos" (tenha em atenção que esta opção pode aumentar a probabilidade de receber convites de calendário por spam)
    2. "Só se o remetente for conhecido" 
    3. "Quando respondo ao convite por correio eletrónico" 

Quão seguro é o Calendário Google?

O Calendário Google utiliza várias funcionalidades de segurança, mas o seu grau geral de segurança continua a depender das definições e práticas do próprio utilizador. Se ativar a autenticação de dois factores, utilizar palavras-passe fortes, escolher a definição "Apenas se o remetente for conhecido" e for geralmente cauteloso com convites de fontes desconhecidas, pode contribuir para um ambiente do Calendário Google mais seguro para si e para os seus contactos.

O Gmail tem protecções anti-spoofing?

Sim, o Gmail emprega várias medidas anti-spoofing, incluindo verificações SPF, DKIM e DMARC. No entanto, os atacantes podem, por vezes, contornar estas protecções, o que torna necessária a utilização de medidas de segurança adicionais. Para melhorar a segurança do e-mail para além das protecções incorporadas do Gmail, deve considerar a utilização de soluções DMARC avançadas, como o PowerDMARC. Esta plataforma oferece ferramentas abrangentes de autenticação de correio eletrónico e relatórios para ajudar a proteger as empresas contra falsificação, phishing e outras ameaças baseadas em correio eletrónico.

CTA

Últimas mensagens de Milena Baghdasaryan (ver todas)
Acesso à rede de confiança zero: Acabar com a confiança implícita na cibersegurançapublicar o blogue dmarc recordComo criar e publicar um registo DMARC