Dark
Light
Por 

Google Calendar: Alvo de Cibercriminosos

O Google Calendar é uma ferramenta amplamente utilizada para organizar horários e gerir o tempo. De acordo com Calendly.com, o serviço é utilizado por mais de 500 milhões de pessoas e está disponível em 41 idiomas. No entanto, devido à sua popularidade e eficiência, tornou-se um alvo para cibercriminosos.
18 de Dezembro, 2024

Recentemente, investigadores de cibersegurança da Check Point Software Technologies identificaram ataques que exploram ferramentas como Google Calendar e Google Drawings. E-mails falsificados parecem legítimos, pois parecem originar-se diretamente do Google Calendar.

Os ataques exploram inicialmente o Google Calendar, com links que direcionam os utilizadores ao Google Forms. Com o aumento da detecção por produtos de segurança, os cibercriminosos passaram a usar o Google Drawings, continuando a manipular plataformas confiáveis.

Como Funciona o Ataque

  1. E-mails falsificados contêm ligações maliciosas ou ficheiros de calendário (.ics).
  2. Os utilizadores são redirecionados para páginas fraudulentas que imitam:
    • Páginas de extração de criptomoeda;
    • Páginas de suporte a bitcoin.
  3. Nestas páginas, as vítimas são induzidas a fornecer informações pessoais ou detalhes de pagamento, frequentemente disfarçados como CAPTCHA ou processos de suporte.

Se o convite for enviado de um contacto aparentemente conhecido, o utilizador é mais propenso a acreditar na mensagem, tornando o esquema ainda mais eficaz.

Motivações dos cibercriminosos

O principal objetivo dos ataques é roubar informações pessoais e empresariais, que podem ser usadas em:

  • Fraudes com cartões de crédito;
  • Transações não autorizadas;
  • Atividades ilícitas, incluindo o acesso a contas protegidas.

Estas fraudes podem causar impactos financeiros e stress emocional significativo, tanto para indivíduos quanto para organizações.

Técnicas utilizadas

  • Links falsificados disfarçados em convites do Google Calendar;
  • Redirecionamento para páginas fraudulentas;
  • Uso de autenticação falsa para roubo de informações sensíveis.

Como bloquear estes ataques

Recomendações para Organizações:

  1. Soluções avançadas de segurança de e-mail:
    • Utilize plataformas como o Harmony Email & Collaboration para bloquear tentativas sofisticadas de phishing.
    • Estas soluções verificam anexos, analisam URLs e utilizam IA para detetar anomalias.
  2. Monitorização de Google Apps de terceiros:
    • Implemente ferramentas que alertem sobre atividades suspeitas em apps associadas ao Google Workspace.
  3. Autenticação Multi-Fator (MFA):
    • A MFA é essencial para impedir acessos não autorizados.
    • Utilize ferramentas de análise de comportamento para identificar logins invulgares ou acesso a sites relacionados com criptomoedas.

Recomendações para Utilizadores Individuais:

  1. Desconfie de convites suspeitos:
    • Convites que pedem passos invulgares, como preenchimento de CAPTCHA, devem ser ignorados.
  2. Examine o conteúdo antes de clicar:
    • Passe o cursor sobre links antes de clicar e prefira inserir manualmente o URL no navegador.
  3. Ative a Autenticação de Dois Fatores (2FA):
    • A 2FA é uma camada adicional de segurança essencial para proteger contas comprometidas.
  4. Configuração do Google Calendar:
    • Ative a opção “remetentes conhecidos” para evitar convites de contactos não familiares.

Declaração da Google

A Google recomenda que os utilizadores ativem a definição “remetentes conhecidos” no Google Calendar. Esta configuração alerta quando um convite é recebido de alguém fora da lista de contactos ou sem interações anteriores.

A evolução dos ataques de phishing, especialmente em plataformas amplamente utilizadas como o Google Calendar, demonstra a importância de soluções avançadas de cibersegurança e boas práticas de segurança individual. Para proteger dados e evitar fraudes, é essencial adotar ferramentas como o Harmony Email & Collaboration, monitorizar atividades suspeitas e implementar mecanismos robustos de autenticação.

Em 2025, não espere ser vítima: atualize a sua solução de segurança de e-mail e proteja a sua organização.

Ver mais

Opinião

Impulsionar a colaboração para combater o cibercrime

Derek Manky

Inteligência Artificial em 2026: Entre a Automação da Ameaça e a Defesa Algorítmica

Rui Ribeiro

Os dados estão lançados: quais as apostas para 2026?

Bruno Castro

A bolha da IA não está na tecnologia, está nas decisões

Luís Almeida

Reforçar a segurança: estratégias eficazes com recursos limitados

Pedro Jorge Viana

Além dos Algoritmos. Arquitetos da Inteligência Criativa

Joana Teixeira
Ver mais

Relacionados