Um esquema de phishing em curso está abusando de convites do Google Calendar e páginas do Google Drawings para roubar credenciais enquanto contorna filtros de spam.
De acordo com a Check Point, que tem monitorado o ataque de phishing, os atores de ameaça visaram 300 marcas com mais de 4.000 e-mails enviados em quatro semanas.
A Check Point informou que os ataques visaram uma ampla gama de empresas, incluindo instituições educacionais, serviços de saúde, empresas de construção e bancos.
O ataque começa com os atores de ameaça usando o Google Calendar para enviar convites para reuniões que parecem bastante inocentes, especialmente se você reconhecer alguns dos outros convidados.
Embutidos nesses convites, como mostrado abaixo, há um link que leva a Google Forms ou Google Drawings que pede ao usuário para clicar em outro link, tipicamente disfarçado como um botão de reCaptcha ou suporte.
Pesquisadores de E-mail na Check Point disseram que, ao utilizar os serviços do Google Calendar para iniciar os convites de phishing, eles conseguem contornar os filtros de spam já que estão vindo de um serviço legítimo do Google.
"Os atacantes utilizaram os serviços do Google Calendar, fazendo com que os cabeçalhos parecessem completamente legítimos e indistinguíveis dos convites enviados por qualquer usuário típico do Google Calendar", informou a Check Point.
Os pesquisadores compartilharam uma imagem dos cabeçalhos de e-mail, mostrando que eles passaram por controles de segurança de e-mail DKIM, SPF e DMARC, permitindo que o convite de phishing chegasse às caixas de entrada dos alvos.
Para dobrar o número de e-mails de phishing enviados ao alvo, os atores de ameaça também podem cancelar o evento do Google Calendar e incluir uma mensagem que será enviada aos participantes.
Essa mensagem também pode incluir um link, como um link para o Google Drawings, para levar ainda mais os alvos para páginas de phishing.
O phishing usando o Google Calendar não é novidade, com o Google lançando anteriormente proteções que permitem aos usuários bloquear mais facilmente esse tipo de convites.
No entanto, se um administrador do Google Workspace não ativar essas proteções, você continuará recebendo convites automaticamente adicionados aos seus calendários.
A Check Point recomenda que os usuários estejam atentos a todos os convites para reuniões recebidos e, se eles solicitarem que você clique em um link, ignore-os a menos que você confie ou confirme o remetente.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...