Pesquisadores revelaram como hackers usam a integração entre os serviços da plataforma
Resumo:
- Opção que permite a qualquer um enviar um convite para o Google Agenda é uma das responsáveis por facilitar invasão;
- Mensagens contém links e arquivos, que ao serem clicados ou baixados, fornecem acesso aos dados do usuário;
- O melhor a fazer é, se possível, desabilitar a opção, ou apagar o convite, caso venha de algum contato desconhecido.
O Gmail é usado por mais de 1,5 bilhão de pessoas. O aplicativo do Google Agenda, por sua vez, foi baixado mais de um bilhão de vezes só na Play Store. Pesquisadores de segurança alertaram nesta semana que hackers têm explorado a popularidade dos aplicativos para roubar as credenciais dos usuários.
LEIA MAIS: Google anuncia internet de graça em São Paulo
Abaixo, veja o que é preciso fazer para se proteger.
O que o ataque envolve?
Pesquisadores de segurança da Kaspersky revelaram como os hackers usam a integração entre diferentes serviços do Google para direcionar usuários a códigos maliciosos.
No que os pesquisadores chamam de “golpes sofisticados”, os usuários do serviço Gmail são direcionados principalmente pelo uso de notificações maliciosas e não solicitadas do Google Agenda. Qualquer um pode agendar uma reunião com você, é assim que o aplicativo de calendário é projetado para funcionar. O Gmail, que recebe a notificação do convite, é igualmente projetado para se integrar perfeitamente à funcionalidade de calendário.
Quando um convite de calendário é enviado a um usuário, uma notificação pop-up é exibida no smartphone. Os hackers criam seus convites com links mal-intencionados inclusos, aproveitando a confiança que a familiaridade do usuário com as notificações do calendário traz.
Os pesquisadores notaram que, ao longo do último mês, os invasores usaram essa técnica para efetivamente enviar spam aos usuários com links de phishing para sites que roubam credenciais. Ao preencher os campos de local e tópico para anunciar uma pesquisa ou questionário on-line falso, com um incentivo financeiro para participar, por exemplo, os hackers incentivam a vítima a seguir o link malicioso em que os detalhes da conta bancária ou do cartão de crédito podem ser coletados.
Isso é apenas phishing?
“Além do phishing, esse ataque abre as portas para uma série de manobras maliciosas de engenharia social”, diz Javvad Malik, defensor da conscientização sobre segurança da KnowBe4. Malik me disse que, para ter acesso a um prédio, por exemplo, você poderia colocar um convite para uma entrevista ou uma reunião similar presencial, o que “poderia permitir o acesso físico a áreas seguras”.
Hugo van den Toorn, gerente de segurança ofensiva do Outpost24, concorda que o perigo se estende além do puro domínio do phishing. “Esse ataque de phishing alavancou especificamente a funcionalidade pretendida de um determinado aplicativo móvel”, explica. “Provavelmente, eles também poderiam ter adicionado anexos com malware direcionado a esses usuários.”
Como você pode evitar o risco?
A Kaspersky aconselha os usuários a desativar a adição automática de convites de calendário, acessando o menu “Configuração de eventos” no Google Agenda e desativando a opção “Adicionar convites automaticamente” e ativando a opção “Mostrar apenas convites aos quais eu já respondi”. Além disso, é aconselhável que “Mostrar eventos recusados” na seção “Opções de visualização” também seja deixado desmarcado.
VEJA TAMBÉM: Google abre pré-venda do streaming de jogos Stadia
Se desligar a adição automática de eventos ao seu calendário for impraticável, então, Boris Cipot, engenheiro de segurança sênior da Synopsys, tem alguns conselhos gerais de prevenção: “Questione todos os e-mails e, neste caso, o convite que você receber”. “Se parecer estranho, errado ou incomum, pergunte à pessoa que enviou o convite se ela realmente o enviou.”
Obviamente, há também o conselho: “Não clicar em nenhum link ou anexo. Sempre que tiver dúvidas, é melhor deletar”. “A automação não é sua amiga em casos como esse, por isso, não deixe seu aplicativo de calendário colocar convites automaticamente no seu calendário”, conclui a Cipot.
Javvad Malik agrees, telling me that users should “validate meetings in the calendar manually and treat unexpected entries with a healthy dose of skepticism”.
Malik concorda e diz que os usuários devem “validar as reuniões no calendário manualmente e tratar entradas inesperadas com uma dose saudável de ceticismo”.
Siga FORBES Brasil nas redes sociais:
Facebook
Twitter
Instagram
YouTube
