Home / Artigo / Google Calendar no olho do furacão de ataques de phishing

Google Calendar no olho do furacão de ataques de phishing

Hackers utilizam o aplicativo para disparar campanhas de phishing e coletar dados pessoais

Popular e extremamente útil, o Google Calendar (tradução: Google Agenda) entrou em uma grande polêmica nesta semana: o aplicativo foi utilizado por hackers, em prol da viabilização de campanhas de phishing durante o mês de maio.

O golpe consistiu no envio de um convite com o propósito de captar dados pessoais dos usuários, tais como: nome, idade, endereço e até informações do cartão de crédito. A gravidade do incidente levou à indisponibilidade do serviço para usuários de todos os países, inclusive do Brasil, líder mundial em ataques de phishing, de acordo com a Kaspersky.

A metodologia da campanha de phishing

Primeiro, é enviado um convite com um link direcionado a uma página fake – facilmente confundida com a página de uma sala de reunião, por exemplo –, produzindo, naturalmente, uma notificação que aparece na tela inicial do celular do usuário. Ao clicar no link, o usuário começa a fazer tentativas sem êxito para acessar a sala até que opta por abrir em outro navegador, sem fechar a janela anterior: um grande erro! É por meio do site falso aberto que o hacker tem controle sobre sistemas, redes e demais informações contidas no computador ou smartphone.

Outro método recorrente em campanhas de phishing é utilizar como “isca” prêmios para que a vítima preencha um pequeno formulário, compartilhando informações pessoais. Então, a “pesca” foi concluída com sucesso e você pode ter seus dados violados.

Diferente do e-mail, que é considerado um meio convencional para campanhas de phishing e com o qual os usuários já estão atentos no tocante a tais golpes, o Google Agenda passa despercebido, sendo um atalho altamente efetivo para os hackers.

Por que devemos nos preocupar?

Além de captar dados pessoais, as campanhas de phishing têm potencial para consolidar as principais preocupações frente a incidentes cibernéticos e ameaças mais preocupantes, que são, respectivamente: perda ou vazamento de dados (75%), perda financeira (65%), interrupção operacional (65%) e ciberataques (70%), paralisação de serviços (61%) e comprometimentos de informações (57%), segundo levantamento do 4º Relatório Anual de Riscos e Fraudes no cenário cibernético, produzido pelo Grupo DARYUS em parceria com a NS Prevention. Clique aqui para ter acesso ao material completo.

Uma campanha de phishing bem-sucedida – imagine uma equipe de funcionários que recebe o mesmo convite no Google Calendar e todos os integrantes clicam no link e o deixam aberto – pode desencadear uma crise, literalmente, escalável, em que os prejuízos impactam diretamente a empresa.

A solução é você (e seus hábitos)!

Os riscos são de alta periculosidade, mas será que os mecanismos de prevenção são tão capciosos ou todos os usuários e colaboradores de uma empresa podem implementá-los? A seguir, você confere uma lista de dicas indispensáveis para extinguir as chances de uma campanha de phishing atingi-lo:

  • Você não foi comunicado previamente sobre o evento? Desconfie e, principalmente, não clique nos links que foram enviados junto a ele.
  • Seja no mobile, seja no desktop, mantenha o termômetro de desconfiança alta, porque seus dados pessoais são vulneráveis nos dois ambientes.
  • Dentro de companhias é preciso que os colaboradores só aceitem e-mails de outros integrantes das mesmas.
  • Tudo começa na conscientização! Transmita essas dicas para seus conhecidos e colegas de trabalho a fim de proteger os dados pessoais e sigilosos.
  • Uma dica mais “avançada” em termos técnicos: desative o “auto-aceitar” convites do Google Calendar. Clique em “Configurações” e depois em “Configurações de eventos”. Na opção ‘Adicionar convites automaticamente’, clique no menu e marque ‘Não, mostrar somente os convites a que respondi’. Já em Opções de visualização, cheque se ‘Mostrar eventos recusados’ está marcado “não”.

E lembre-se: prezar pela Segurança da Informação é uma prática basilar para dar continuidade ao seu negócio.  

Confira o artigo original no meu LinkedIn, acessando: https://dary.us/2KVZl1P.

Sobre Jeferson D'Addario - CBCP, MBCI, CRISC

mm
Consultor sênior há mais de vinte anos em TI, gestão de riscos e continuidade de negócios, ganhador do prêmio SECMASTER 2006 na categoria “Melhor Contribuição para o Desenvolvimento de Mercado”. Possui mais de 35 projetos de Continuidade de Negócios para empresas líderes no Brasil e Exterior nos últimos dez anos. Certificado como CBCP pelo DRII-USA, MBCI pelo BCI-UK, CRISC pela ISACA, ISO 27001 lead auditor (BSI). Formação em Economia e TI. Foi o responsável por trazer e desenvolver os primeiros cursos de continuidade de negócios oficiais do DRII – Disaster Recovery Institute International para o Brasil em 2005. Desde 2010 é instrutor oficial do DRII e representante executivo para o Brasil. É Membro da ISACA-SP, sendo colaborador na tradução do COBIT 4.1. Possui ampla experiência em Gestão de TIC (ITIL e ISO 20.000) e Govenança de TIC (COBIT, ISO 38500), tendo sido gerente e diretor de TI em empresas nacionais, e participado de projetos de implementação e certificação. Criador, coordenador e professor da Pós-graduação em GTSI - Gestão e Tecnologia em Segurança da Informação, curso DARYUS aplicado na Faculdade Impacta Tecnologia (FIT) – SP/SP, desde 2003, atualmente na turma 15. É sócio-diretor e fundador da DARYUS Consultoria e Treinamento, e atualmente CEO do Grupo DARYUS. Possui ampla experiência em gestão empresarial de negócios, pessoas, educação, gestão de crises, comunicação empresarial, relacionamento executivo e gestão financeira, apoiando executivos de grandes empresas no Brasil em projetos de consultoria. Palestrante, articulista e colaborador em eventos nacionais e internacionais relacionados a GRC, TI, Continuidade e Gestão Empresarial. Foi reconhecido pela Infragard – Califórnia em 2010 pela contribuição na área de segurança da informação para o Brasil. Já lecionou anteriormente para IPEN – Instituto de Pesquisas Nucleares – USP – SP e Instituto Trevisan – SP.

Confira tambem

GRC International e DRIDAY Latin America: chegou a hora de se preparar para o amanhã

Palestras de alto impacto e dinâmicas disruptivas resultaram em momentos de imersão para os participantes …

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *