E-mails de phishing disfarçados de notificações de compra estão sendo enviados por meio de convites do Calendário do iCloud. As mensagens estariam partindo de servidores de e-mail da Apple, contornando filtros de spam até a caixa de entrada de potenciais vítimas. O esquema foi revelado pelo site Bleeping Computer após o alerta de um leitor.
“Olá, cliente, sua conta do PayPal foi cobrada em US$ 599,00. Estamos confirmando o recebimento do seu pagamento recente”, dizia o e-mail. Aqui, os criminosos tentam convencer o usuário de que a conta PayPal foi hackeada para induzi-lo a baixar um software. Assim, eles acessam dados pessoais e podem também roubar dinheiro.
Isca “legítima” vem de e-mail confiável
O e-mail foi enviado do endereço [email protected], indicando que a mensagem saiu de um servidor legítimo da Apple, como explica a reportagem. O criminoso incluiu o texto de phishing no campo Notas em um convite do Calendário do iCloud endereçado a outro e-mail do Microsoft 365 — controlado por ele.
Isso faz crer que o endereço da Microsoft é, na verdade, uma lista que encaminha automaticamente qualquer e-mail recebido para todos os outros membros do grupo — nesse caso, os alvos do golpe de phishing, diz o site. Um dos mecanismos usados pela Microsoft para contornar o esquema é o Sender Rewriting Scheme (SRS), que reescreve o caminho do e-mail, garantindo que a mensagem passe pelas verificações de segurança.
“Esses ataques, como o que usa o Calendário do iCloud, passam por SPF/DKIM/DMARC e chegam a caixas de entrada com legitimidade emprestada. As pessoas não analisam links de calendário da mesma forma que analisam links de e-mail, então um convite para reunião com um número de retorno reduz as defesas e direciona as vítimas para golpes de vishing ou acesso remoto”, alertou o consultor Javvad Malik, da KnowBe4, à revista Forbes.
Recentemente, um golpe de phishing explorou serviços do Google para enganar usuários com e-mails que parecem legítimos. Utilizando o Google Sites, os invasores criam mensagens falsas que simulam alertas de intimação policial enviados por “[email protected]”, como informou o Olhar Digital.
Leia Mais:
- Novo golpe da CNH: saiba como se proteger
- 5 armadilhas que hackers usam para te enganar por e-mail
- Criminosos pagam ao Google para disparar e-mails com phishing
Dicas para se proteger
- Desative a aceitação automática de convites;
- Aplique a autenticação multifator;
- Evite responder números desconhecidos;
- Configure controles de filtragem para torná-los mais rigorosos.
“Pergunte se essa comunicação era esperada, se está tentando provocar emoção e se existe um limite de tempo artificial pressionando você a agir agora. Se a resposta for sim para alguma delas, pare e verifique por conta própria por meio de um canal conhecido. E trate convites de calendário com o mesmo ceticismo que e-mails”, aconselhou Malik.
Tags: