Google Calendar no olho do furacão de ataques de phishing.
Hackers utilizam o aplicativo para disparar campanhas de phishing e coletar dados pessoais.
Popular e extremamente útil, o Google Calendar (tradução: Google Agenda) entrou em uma grande polêmica nesta semana: o aplicativo foi utilizado por hackers, em prol da viabilização de campanhas de phishing durante o mês de maio.
O golpe consistiu no envio de um convite com o propósito de captar dados pessoais dos usuários, tais como: nome, idade, endereço e até informações do cartão de crédito. A gravidade do incidente levou à indisponibilidade do serviço para usuários de todos os países, inclusive do Brasil, líder mundial em ataques de phishing, de acordo com a Kaspersky.
A metodologia da campanha de phishing
Primeiro, é enviado um convite com um link direcionado a uma página fake – facilmente confundida com a página de uma sala de reunião, por exemplo –, produzindo, naturalmente, uma notificação que aparece na tela inicial do celular do usuário. Ao clicar no link, o usuário começa a fazer tentativas sem êxito para acessar a sala até que opta por abrir em outro navegador, sem fechar a janela anterior: um grande erro! É por meio do site falso aberto que o hacker tem controle sobre sistemas, redes e demais informações contidas no computador ou smartphone.
Outro método recorrente em campanhas de phishing é utilizar como “isca” prêmios para que a vítima preencha um pequeno formulário, compartilhando informações pessoais. Então, a “pesca” foi concluída com sucesso e você pode ter seus dados violados.
Diferente do e-mail, que é considerado um meio convencional para campanhas de phishing e com o qual os usuários já estão atentos no tocante a tais golpes, o Google Agenda passa despercebido, sendo um atalho altamente efetivo para os hackers.
Por que devemos nos preocupar?
Além de captar dados pessoais, as campanhas de phishing têm potencial para consolidar as principais preocupações frente a incidentes cibernéticos e ameaças mais preocupantes, que são, respectivamente: perda ou vazamento de dados (75%), perda financeira (65%), interrupção operacional (65%) e ciberataques (70%), paralisação de serviços (61%) e comprometimentos de informações (57%), segundo levantamento do 4º Relatório Anual de Riscos e Fraudes no cenário cibernético, produzido pelo Grupo DARYUS em parceria com a NS Prevention. Clique aqui para ter acesso ao material completo.
Uma campanha de phishing bem-sucedida – imagine uma equipe de funcionários que recebe o mesmo convite no Google Calendar e todos os integrantes clicam no link e o deixam aberto – pode desencadear uma crise, literalmente, escalável, em que os prejuízos impactam diretamente a empresa.
A solução é você (e seus hábitos)!
Os riscos são de alta periculosidade, mas será que os mecanismos de prevenção são tão capciosos ou todos os usuários e colaboradores de uma empresa podem implementá-los? A seguir, você confere uma lista de dicas indispensáveis para extinguir as chances de uma campanha de phishing atingi-lo:
· Você não foi comunicado previamente sobre o evento? Desconfie e, principalmente, não clique nos links que foram enviados junto a ele.
· Seja no mobile, seja no desktop, mantenha o termômetro de desconfiança alta, porque seus dados pessoais são vulneráveis nos dois ambientes.
· Dentro de companhias é preciso que os colaboradores só aceitem e-mails de outros integrantes das mesmas.
· Tudo começa na conscientização! Transmita essas dicas para seus conhecidos e colegas de trabalho a fim de proteger os dados pessoais e sigilosos.
· Uma dica mais “avançada” em termos técnicos: desative o “auto-aceitar” convites do Google Calendar. Clique em “Configurações” e depois em “Configurações de eventos”. Na opção ‘Adicionar convites automaticamente’, clique no menu e marque ‘Não, mostrar somente os convites a que respondi’. Já em Opções de visualização, cheque se ‘Mostrar eventos recusados’ está marcado “não”.
E lembre-se: prezar pela Segurança da Informação é uma prática basilar para dar continuidade ao seu negócio.
Técnico Informática | Analista de Suporte | Estudante de Cloud Computing AWS |
4yO Brasil é líder mundial em ataques de phishing sofrendo ou recebendo ?
Segurança da Informação - Membro da ISO/ABNT - Membro do IBRASPD - Voluntário da Womcy - Membro da APDados - Host do PodPUTS: linktr.ee/podputs - MBA
4yAtenção total.
Security Analyst | Ethical Hacker | Offensive Security
4yEduard Santos Dantas Alex Sartori
Leveraging P&DP Awareness + Accountability to Companies & DataSubjects | PrivacyPro | Top Voice | Legal Executive | Project Manager | Tech In-house Counsel | Policy + AI + IS Enthusiast | Lecturer | Father of 2 👧
4yErick Senzaki, PMP, CBPP