Usado por mais de 500 milhões de pessoas em mais de 40 línguas, o Google Calendar tem sido alvo de cibercriminosos. Segundo os investigadores da Check Point Software Technologies, uma campanha recente de phishing afetou cerca de 300 marcas e resultou no envio de 2.300 emails maliciosos em apenas duas semanas.

Os ataques tiram partido das funcionalidades intuitivas do Google Calendar para enganar utilizadores e roubar informações sensíveis. Os cibercriminosos manipulam os cabeçalhos de email, fazendo com que as mensagens pareçam originar diretamente do Google Calendar ou de contactos conhecidos, aumentando a probabilidade de os destinatários confiarem no conteúdo.

Inicialmente, os atacantes usavam links para o Google Forms, mas adaptaram a estratégia para explorar o Google Drawings, após os produtos de segurança começarem a sinalizar convites maliciosos. As mensagens incluem ficheiros de calendário (.ics) ou ligações disfarçadas, como botões de reCAPTCHA falsos ou de suporte técnico.

Ciberataques em Portugal crescem. Educação e saúde entre os sectores mais afetados
Ciberataques em Portugal crescem. Educação e saúde entre os sectores mais afetados
Ver artigo

Quando os utilizadores clicam nas ligações, são redirecionados para páginas fraudulentas que simulam plataformas de criptomoedas ou serviços de suporte. Estas páginas pedem que completem processos de autenticação falsos, forneçam dados pessoais e, eventualmente, informações financeiras, como detalhes de pagamento.

Os dados roubados podem ser usados para esquemas financeiros, incluindo fraudes com cartões de crédito ou transações não autorizadas. Além disso, os cibercriminosos podem usar essas informações para contornar medidas de segurança noutras contas, causando impactos significativos tanto para indivíduos como para empresas.

A campanha evidencia os perigos crescentes de ataques de phishing que exploram ferramentas legítimas e de uso diário. Para se proteger, é fundamental desconfiar de emails inesperados, verificar remetentes e evitar clicar em ligações ou abrir anexos sem validação prévia, aconselha a Check Point.