Cibercriminosos estão usando as notificações do Google Agenda para roubar dados de vítimas. O golpe acontece por meio da exploração de um recurso comum do Agenda: ele mostra notificações de eventos na tela do smartphone de maneira automática, pedindo para o usuário aceitar ou declinar o convite; e o perigo está aí.
O Google Agenda está conectado ao Gmail, então, “criminosos enviam um convite de calendário não solicitado a um destinatário, contendo um link para um URL de phishing”, explicou a pesquisadora da Kaspersky Maria Vergelis. “Uma notificação pop-up do convite aparece na tela do smartphone, e o destinatário é incentivado a clicar no link. O site onde eles são direcionados, então, diz às vítimas para inserir seus dados de cartão de crédito e adicionar algumas informações pessoais — que são enviadas diretamente para os golpistas”.
Infelizmente, a única de se proteger de receber notificações como essa é desativando os convites automáticos
A Kaspersky nota, entre as vítimas observadas no mês de maio deste ano, que não foi “só” o roubo de dados enviado pelas notificações: algumas delas também continham links para download de malwares.
Ao Threatpost, Maria Vergelis comentou que “esse vetor de ataque pode ser usado para qualquer campanha, incluindo a disseminação de links maliciosos. A capacidade de explorar serviços legais que são tão populares e conhecidos entre os usuários em todo o mundo (o número de vítimas em potencial é enorme) é notável”.
Na campanha observada em maio, as vítimas eram redirecionadas para um site que exibia um tipo de questionário. Para fisgar interessados, ainda era comentado que, ao responder as perguntas, o usuário ganharia um prêmio em dinheiro. Os dados de cartão de crédito eram roubados no momento que o site exigia essas informações para uma “taxa fixa” do questionário.
Vale a dica de sempre prestar atenção nos sites que acessa e, jamais, repassar dados pessoais e bancários
A Kaspersky também nota que não foi apenas o Google Agenda, mas outros serviços também tiveram suas notificações exploradas, como o Google Fotos, Google Hangouts, Google Ads e Google Analytics. Em cada um deles, a notificação era pareada com o serviço: por exemplo, no Analytics, ela falava sobre “um relatório estatístico de visitas”.
Infelizmente, a única de se proteger de receber notificações como essa é desativando os convites automáticos feitos pelo Google Agenda. Mas, vale a dica de sempre prestar atenção nos sites que acessa e, jamais, repassar dados pessoais e bancários em sites que oferecem promoções e questionários com preços e prêmios duvidosos.
Fontes
Categorias