Criminosos invadem calendários da Google e da Microsoft para aplicar golpes

Picture of Edição - IstoéNEGÓCIOS
Edição - IstoéNEGÓCIOS
Criminosos invadem calendários da Google e da Microsoft para aplicar golpes

Criminosos descobriram que podem usar convites de calendário para aplicar golpes que passam direto pelas ferramentas de proteção de e-mail. O pior? Mesmo quando o sistema de segurança identifica e bloqueia a mensagem maliciosa, o compromisso continua aparecendo na agenda da vítima — e com ele, todos os links, arquivos e instruções do golpe.

É possível configurar o Google Workspace e o Microsoft 365 para bloquear convites automáticos e se proteger, falaremos sobre isso ao final da matéria.

Essa técnica, conhecida como phishing ICS e descoberta pela empresa de segurança Sublime Security, representa um salto na sofisticação dos ataques digitais. Enquanto as empresas investem pesado em gateways de e-mail e soluções de segurança baseadas em API, os criminosos encontraram uma vulnerabilidade: a integração automática entre e-mail e calendário do Google Workspace e Microsoft 365. 

Como funciona o golpe

O phishing ICS (na sigla em inglês para “Internet Calendar Scheduling”) explora uma funcionalidade criada para facilitar o dia a dia corporativo. Quando você recebe um e-mail com um arquivo .ics anexado, o formato padrão de convites de calendário, o Google Workspace e o Microsoft 365 automaticamente criam o evento na sua agenda. Não precisa de confirmação, não precisa de clique. Simplesmente aparece.

Para os golpistas, isso significa duas chances de fisgar a vítima: o e-mail na caixa de entrada e o evento no calendário. Mas o verdadeiro problema é ainda mais grave.

Um gateway de segurança analisa uma mensagem, identifica características suspeitas e a envia automaticamente para quarentena. Missão cumprida, certo? Errado. O evento de calendário já foi criado, e a maioria das soluções de segurança de e-mail não tem capacidade de remover entradas maliciosas dos calendários.

É exatamente essa lacuna que os criminosos estão explorando. O e-mail pode ir direto para o lixo eletrônico ou ficar preso em quarentena, mas o compromisso permanece ali, na agenda, esperando que você clique em um link, abra um anexo ou ligue para um número.

No caso do Microsoft 365, a situação é ainda mais crítica: a plataforma transfere automaticamente os anexos do e-mail para o evento de calendário. Isso significa que um PDF malicioso, um arquivo HTML com phishing ou qualquer outra carga maliciosa migra da mensagem bloqueada direto para a sua agenda — sem passar por nenhuma análise de segurança adicional.

A falsa teleconferência

O primeiro ataque identificado mostra como os criminosos conseguem abusar de serviços legítimos para parecerem confiáveis. Neste caso, eles usaram o FreeConferenceCall.com, uma plataforma real e amplamente utilizada para reuniões virtuais.

O golpista agenda uma reunião legítima no serviço, que automaticamente gera um convite com número de telefone, código de acesso e link da videoconferência. Até aqui, tudo perfeito — o serviço funciona exatamente como deveria.

Mas no corpo do e-mail, o criminoso adiciona uma mensagem específica: “Não utilize os dados de teleconferência gerados automaticamente acima. Por favor, ligue para o número indicado abaixo para participar da reunião.” E fornece um número de telefone completamente diferente — controlado por ele.

Essa é uma técnica conhecida como “instruções conflitantes”. O golpista usa um serviço confiável para ganhar legitimidade, mas sobrescreve as informações com dados maliciosos. Quem recebe o e-mail vê o cabeçalho oficial do FreeConferenceCall.com e baixa a guarda.

O que torna esse ataque único é o arquivo .ics. Quando o FreeConferenceCall.com cria uma reunião, ele gera automaticamente um convite de calendário anexado ao e-mail. Esse convite contém exatamente as mesmas informações de phishing que estavam no corpo da mensagem — incluindo o número de telefone falso.

Ou seja, mesmo que a vítima delete o e-mail antes de ler (ou que o sistema de segurança bloqueie a mensagem), o evento permanece no calendário com todas as instruções do golpe. Dias depois, quando chega a hora da “reunião”, a pessoa abre o calendário, vê o compromisso, lê as instruções e liga para o número, caindo direto no golpe.

QR Code ladrão de credenciais bancárias

O segundo ataque identificado usa uma abordagem minimalista. O e-mail chega praticamente vazio: apenas um convite para reunião, um arquivo PDF anexado e nenhum texto explicativo no corpo da mensagem.

À primeira vista, parece suspeito demais para funcionar. Mas os criminosos contam com dois fatores: a curiosidade natural das pessoas e a confiança em anexos que chegam através de convites profissionais.

Quando a reunião é adicionada automaticamente ao calendário do Microsoft 365, acontece algo crítico: o PDF é transferido junto. A vítima não precisa mais acessar o e-mail original — o arquivo está ali, anexado ao evento, esperando para ser aberto.

O tema escolhido foi financeiro, explorando a ansiedade que qualquer pessoa sente ao ver um assunto relacionado a dinheiro. O PDF se passa por um documento da Docusign, empresa que milhões de brasileiros conhecem por enviar contratos e documentos importantes para assinatura digital.

Dentro do PDF, há um código QR. A mensagem é clara: “Escaneie para verificar seu documento” ou “Acesse para assinar o contrato pendente”. O design é caprichado, com o logo da Docusign, cores oficiais e até avisos de confidencialidade para aumentar a sensação de legitimidade.

Quando a vítima escaneia o QR Code com o celular, é direcionada para uma página de phishing de credenciais. A página falsa pede login e senha — geralmente se passando por um banco, pela própria Docusign ou por um serviço corporativo como Microsoft 365.

O uso de QR Code é particularmente eficaz porque muitos sistemas de segurança não analisam o conteúdo de códigos QR em PDFs. Além disso, quando a vítima escaneia com o celular, ela está usando um dispositivo diferente, que pode não ter as mesmas proteções de segurança do computador corporativo.

Neste ataque específico, o código QR apontava para um link encurtado do TinyURL, outra tática comum para esconder o destino real e dificultar análises de segurança automatizadas.

Kit de phishing profissional

O terceiro exemplo é o mais sofisticado e mostra como os criminosos estão investindo em ferramentas profissionais para aumentar a eficácia dos golpes.

O ataque começa com uma mensagem quase vazia: um aviso de confidencialidade genérico (do tipo que empresas colocam no rodapé de todos os e-mails), um convite para reunião e um arquivo HTML anexado. Nada muito suspeito à primeira vista.

O assunto do e-mail alerta que um domínio de propriedade da empresa está prestes a expirar. “Seu domínio empresa.com.br expira em 48 horas. Ação imediata necessária para evitar interrupção dos serviços.”

Aqui entram dois gatilhos psicológicos poderosos: urgência e medo de perda. Perder um domínio pode significar site fora do ar, e-mails parados, prejuízo financeiro e reputacional. Qualquer profissional de TI ou gestor sente o coração acelerar ao ler uma mensagem dessas.

Em vez de criar um evento de uma hora, os criminosos bloqueiam a semana inteira com o título “INTERRUPÇÃO DE SERVIÇOS – DOMÍNIO EXPIRADO”. Isso mantém o alerta visual na agenda da vítima por dias, aumentando a pressão para tomar uma atitude.

Mas o detalhe mais inteligente está na lista de participantes. O evento não lista apenas o destinatário original, ele inclui convidados fictícios com nomes genéricos como “Administrador”, “Suporte de TI” e “Finanças”. Isso cria a ilusão de que o problema é real, grave e que outras áreas da empresa já estão envolvidas.

A carga maliciosa é o arquivo HTML anexado. Diferente de um link que leva para um site externo (e que pode ser bloqueado por filtros), o arquivo HTML é executado localmente no computador da vítima.

Quando a pessoa abre o arquivo, ela não é redirecionada para um site suspeito na internet. Em vez disso, o kit de phishing cria uma página falsa do Microsoft Domain Services diretamente no diretório temporário do computador (/temp). Todo o código JavaScript necessário está embutido no arquivo HTML. 

Essa técnica tem várias vantagens para os criminosos:

  • Passa por firewalls: Como a página é executada localmente, não há conexão com domínios suspeitos que possam ser bloqueados;
  • Evita blacklists: Não depende de URLs que podem ser identificadas e bloqueadas;
  • Parece legítimo: A barra de endereço mostra um arquivo local (file://), não um site estranho;
  • Dificulta análise: Muitos sistemas de segurança não executam arquivos HTML para analisar seu comportamento.

A primeira tela imita perfeitamente o visual do Microsoft Domain Services, com logo, cores e layout oficiais. Tem até uma barra de progresso falsa para dar a impressão de que está “verificando o status do domínio”.

Depois disso, o kit redireciona para a página final: um formulário de login falso da GoDaddy com “tecnologia Microsoft”.

A escolha da GoDaddy não é aleatória. É um dos maiores registradores de domínio do mundo, amplamente utilizado por empresas brasileiras. E o detalhe “tecnologia Microsoft” reforça a conexão com o tema do e-mail original.

O formulário pede e-mail corporativo e senha. Quando a vítima digita suas credenciais, os dados são enviados para um servidor controlado pelos criminosos — geralmente através de um webhook ou API que não deixa rastros facilmente rastreáveis.

Análise do código HTML revelou características típicas de kits de phishing profissionais: declarações “const” excessivas (indicando código ofuscado), tempos de espera anormalmente longos (para evitar análises automatizadas que executam código muito rapidamente) e múltiplas camadas de redirecionamento.

Como se proteger agora

É possível configurar o Google Workspace e o Microsoft 365 para bloquear convites automáticos, o que elimina a principal brecha explorada pelo phishing ICS.

Configuração no Google Workspace

  • Acesse o Console de Administração do Google Workspace;
  • Navegue até Aplicativos → Google Workspace → Calendário;
  • Clique em Configurações Avançadas;
  • Localize a opção “Adicionar convites ao meu calendário”;
  • Mude para “Somente convites de remetentes conhecidos” ou “Convites aos quais os usuários responderam por e-mail”.

Essa configuração impede que qualquer pessoa adicione eventos ao calendário dos funcionários sem que eles confirmem primeiro. Apenas contatos conhecidos ou convites explicitamente aceitos serão adicionados automaticamente.

Configuração no Microsoft 365

A mudança no Microsoft 365 é mais técnica e requer acesso ao PowerShell:

  • Abra o PowerShell como administrador;
  • Conecte-se ao Exchange Online;
  • Execute o comando: Set-CalendarProcessing -Identity [email] -AutomateProcessing None.

Esse comando desativa o “Assistente de Calendário” que processa convites automaticamente. A mudança pode ser aplicada usuário por usuário ou em massa para toda a organização.

Quer ficar por dentro de outras dicas de cibersegurança? Siga o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube para mais notícias de tecnologia e segurança.

Fonte ==> TecMundo

Edição - IstoéNEGÓCIOS

O Portal Isto é Negócios é um portal de notícias sobre o mercado de negócios do mundo.
Colunas

Leia Também

Renda de autônomos cresce mais que a de trabalhadores CLT

Renda de autônomos cresce mais que a de trabalhadores CLT

Edição - IstoéNEGÓCIOS 3 de novembro de 2025 0
Decisão do STF de 2021 inflou número de ações na Justiça do Trabalho.

Senado analisa criação de justiça especial para ações tributárias

Edição - IstoéNEGÓCIOS 2 de novembro de 2025 0
entenda por que passagens aéreas podem subir

entenda por que passagens aéreas podem subir

Edição - IstoéNEGÓCIOS 1 de novembro de 2025 0
Empréstimo bilionário não garante competitividade dos Correios

Empréstimo bilionário não garante competitividade dos Correios

Edição - IstoéNEGÓCIOS 31 de outubro de 2025 0
“Queremos comércio justo”, diz Ted McKinney, dos EUA

“Queremos comércio justo”, diz Ted McKinney, dos EUA

Edição - IstoéNEGÓCIOS 30 de outubro de 2025 0
ministro fala em dar aulas grátis

ministro fala em dar aulas grátis

Edição - IstoéNEGÓCIOS 29 de outubro de 2025 0
apagão, energia, painéis solares

Haddad quer acabar com incentivos para painéis solares

Edição - IstoéNEGÓCIOS 28 de outubro de 2025 0
De cada dez pratos de feijoada servidos no Brasil, oito têm origem no Paraná, que lidera com folga a produção de feijão preto no país.

Preço faz brasileiro trocar arroz e feijão por macarrão

Edição - IstoéNEGÓCIOS 27 de outubro de 2025 0

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Últimas Notícias

Copyright © 2025 Isto é Negócios

Política de Privacidade