UNDER 30 2024 Assine
Indicação Under 30 Seja um assinante

Início / Colunas / Novo alerta de segurança chega a 1,5 bilhão de usuários do Gmail e do Google Agenda

Novo alerta de segurança chega a 1,5 bilhão de usuários do Gmail e do Google Agenda

Pesquisadores revelaram como hackers usam a integração entre os serviços da plataforma

Davey Winder
11/06/2019 Atualizado há 5 anos

S3studio/Getty Images
S3studio/Getty Images

Pesquisadores revelaram como hackers usam a integração entre os serviços da plataforma

Acessibilidade

Resumo:

  • Opção que permite a qualquer um enviar um convite para o Google Agenda é uma das responsáveis por facilitar invasão;
  • Mensagens contém links e arquivos, que ao serem clicados ou baixados, fornecem acesso aos dados do usuário;
  • O melhor a fazer é, se possível, desabilitar a opção, ou apagar o convite, caso venha de algum contato desconhecido.

O Gmail é usado por mais de 1,5 bilhão de pessoas. O aplicativo do Google Agenda, por sua vez, foi baixado mais de um bilhão de vezes só na Play Store. Pesquisadores de segurança alertaram nesta semana que hackers têm explorado a popularidade dos aplicativos para roubar as credenciais dos usuários.

LEIA MAIS: Google anuncia internet de graça em São Paulo 

Abaixo, veja o que é preciso fazer para se proteger.

O que o ataque envolve?


Pesquisadores de segurança da Kaspersky revelaram como os hackers usam a integração entre diferentes serviços do Google para direcionar usuários a códigos maliciosos.

No que os pesquisadores chamam de “golpes sofisticados”, os usuários do serviço Gmail são direcionados principalmente pelo uso de notificações maliciosas e não solicitadas do Google Agenda. Qualquer um pode agendar uma reunião com você, é assim que o aplicativo de calendário é projetado para funcionar. O Gmail, que recebe a notificação do convite, é igualmente projetado para se integrar perfeitamente à funcionalidade de calendário.

Quando um convite de calendário é enviado a um usuário, uma notificação pop-up é exibida no smartphone. Os hackers criam seus convites com links mal-intencionados inclusos, aproveitando a confiança que a familiaridade do usuário com as notificações do calendário traz.

Os pesquisadores notaram que, ao longo do último mês, os invasores usaram essa técnica para efetivamente enviar spam aos usuários com links de phishing para sites que roubam credenciais. Ao preencher os campos de local e tópico para anunciar uma pesquisa ou questionário on-line falso, com um incentivo financeiro para participar, por exemplo, os hackers incentivam a vítima a seguir o link malicioso em que os detalhes da conta bancária ou do cartão de crédito podem ser coletados.

Isso é apenas phishing?

“Além do phishing, esse ataque abre as portas para uma série de manobras maliciosas de engenharia social”, diz Javvad Malik, defensor da conscientização sobre segurança da KnowBe4. Malik me disse que, para ter acesso a um prédio, por exemplo, você poderia colocar um convite para uma entrevista ou uma reunião similar presencial, o que “poderia permitir o acesso físico a áreas seguras”.

Hugo van den Toorn, gerente de segurança ofensiva do Outpost24, concorda que o perigo se estende além do puro domínio do phishing. “Esse ataque de phishing alavancou especificamente a funcionalidade pretendida de um determinado aplicativo móvel”, explica. “Provavelmente, eles também poderiam ter adicionado anexos com malware direcionado a esses usuários.”

Como você pode evitar o risco?

A Kaspersky aconselha os usuários a desativar a adição automática de convites de calendário, acessando o menu “Configuração de eventos” no Google Agenda e desativando a opção “Adicionar convites automaticamente” e ativando a opção “Mostrar apenas convites aos quais eu já respondi”. Além disso, é aconselhável que “Mostrar eventos recusados” na seção “Opções de visualização” também seja deixado desmarcado.

VEJA TAMBÉM: Google abre pré-venda do streaming de jogos Stadia 

Se desligar a adição automática de eventos ao seu calendário for impraticável, então, Boris Cipot, engenheiro de segurança sênior da Synopsys, tem alguns conselhos gerais de prevenção: “Questione todos os e-mails e, neste caso, o convite que você receber”. “Se parecer estranho, errado ou incomum, pergunte à pessoa que enviou o convite se ela realmente o enviou.”

Obviamente, há também o conselho: “Não clicar em nenhum link ou anexo. Sempre que tiver dúvidas, é melhor deletar”. “A automação não é sua amiga em casos como esse, por isso, não deixe seu aplicativo de calendário colocar convites automaticamente no seu calendário”, conclui a Cipot.

Javvad Malik agrees, telling me that users should “validate meetings in the calendar manually and treat unexpected entries with a healthy dose of skepticism”.

Malik concorda e diz que os usuários devem “validar as reuniões no calendário manualmente e tratar entradas inesperadas com uma dose saudável de ceticismo”.


Siga FORBES Brasil nas redes sociais:

Facebook
Twitter
Instagram
YouTube

Temas
  • Gmail
  • google
  • Hacker
  • Kaspersky
  • segurança online

Conteúdo publicitário
Membros Forbes Brasil
Faça seu login e leia a edição digital diretamente em seu dispositivo. Apenas para assinantes.
Seja um assinante→

Capa da edição impressa da revista ForbesCapa da edição impressa da revista ForbesCapa da edição impressa da revista ForbesCapa da edição impressa da revista ForbesCapa da edição impressa da revista ForbesCapa da edição impressa da revista Forbes
Capa da edição impressa da revista Forbes
Capa da edição impressa da revista Forbes
Capa da edição impressa da revista Forbes
Capa da edição impressa da revista Forbes
Capa da edição impressa da revista Forbes
Capa da edição impressa da revista Forbes

Seja um assinante →
logo Forbes
   — @forbesbr
  — @forbesbr
  — @forbesbr
  — yt/forbesbr
  — forbes brasil
Forbes Br.
+ Sobre nós
+ Forbes Store
+ Revista digital
+ Anuncie
+ Contato
Links úteis
+ Política de Privacidade
+ Newsletter
logo Terra
Cotações por TradingView

© Forbes 2024. Todos os direitos reservados.