Os criminosos estão falsificando e-mails do Google Agenda em uma expedição de phishing com motivação financeira que já afetou cerca de 300 organizações com mais de 4.000 e-mails enviados em quatro semanas, segundo pesquisadores da Check Point.
Os crimes modificam os cabeçalhos dos e-mails dos remetentes para que as mensagens pareçam ser convites legítimos do Google Agenda enviados por alguém que a vítima conhece. É uma boa isca, do ponto de vista dos fraudadores, porque mais de 500 milhões de pessoas usam o Google Agenda.
Os e-mails de phishing geralmente incluem um arquivo de calendário (.)ics com um link para o Formulários Google ou Desenhos Google. Assim que o destinatário clica no link, ele é solicitado a clicar em outro, que a Check Point observa normalmente disfarçado como um reCAPTCHA ou botão de suporte.
Alerta de spoiler: é falso. Assim que a vítima clica no link malicioso, ela acessa o que parece ser uma página de mineração de criptomoeda ou de suporte de Bitcoin.
“Na verdade, essas páginas têm como objetivo perpetrar fraudes financeiras”, disseram os caçadores de ameaças. explicado em um blog sobre a campanha de phishing. “Quando os usuários acessam a página, eles são solicitados a concluir um processo de autenticação falso, inserir informações pessoais e, eventualmente, fornecer detalhes de pagamento”.
A Check Point entrou em contato com o Google sobre os e-mails de phishing e aqui está o que a gigante da tecnologia sugeriu:
A loja de segurança oferece seus próprios conselhos para se proteger contra ser vítima desta e de outras campanhas de phishing, incluindo tomar precauções extras ao receber convites para eventos com solicitações e etapas “inesperadas” ou “incomuns” – como completar um quebra-cabeça CAPTCHA.
Além disso, “pense antes de clicar”. Passe o mouse sobre os links e digite o URL no Google, em vez de apenas clicar nele. O objetivo da maioria dos phishings é induzir os usuários a clicar em links ou anexos maliciosos, o que permite que os criminosos roubem credenciais e as usem para acessar documentos confidenciais, informações pessoais ou contas financeiras.
Além disso, é sempre uma boa ideia ativar a autenticação de dois fatores para contas do Google – ou qualquer repositório que contenha informações confidenciais, na verdade.
Só no ano passado, o FBI recebido (PDF) 298.878 reclamações de vítimas de phishing e/ou spoofing, custando às vítimas US$ 18.728.550 em perdas totais.
O resultado final é que esses tipos de ataques de engenharia social funcionam. Eles são relativamente simples para os criminosos realizarem e obtêm um grande retorno sobre o investimento.
Embora o Google Agenda possa estar entre as iscas mais recentes, os invasores podem mudar e mudam suas formas de ataque, dependendo de onde procuram novas vítimas. Não caia na isca. ®
