Pular para o conteúdo principal

Invasores usam as notificações do Google AppSheet para tomar o controle de contas | Blog oficial da Kaspersky

 Invasores usam as notificações do Google AppSheet para tomar o controle de contas | Blog oficial da Kaspersky

Blog oficial da Kaspersky / by Anna Lazaricheva / Jun 9, 2026 at 10:07 AM

As campanhas de phishing tornaram-se significativamente mais sofisticadas e convincentes nos últimos anos. Os endereços dos remetentes agora são quase idênticos aos legítimos. Os e-mails são redigidos de forma impecável e os usuários são chamados pelo nome. Mas o que fazer quando um e-mail suspeito vem de um endereço claramente legítimo?


Recentemente, os phishers passaram a explorar a plataforma Google AppSheet para configurar disparos de e-mail originados de um endereço oficial vinculado ao Google. Após um ataque bem-sucedido, eles acabam obtendo acesso às contas das vítimas e a dados confidenciais.


Neste artigo, explicamos como esse novo esquema de roubo de dados funciona e como se proteger desses ataques de phishing cada vez mais difíceis de identificar.


O Google está oferecendo um emprego a você. Ou a Coca-Cola. Ou talvez a Volvo. Mas será mesmo?

O AppSheet é um serviço do Google que permite criar aplicativos sem nenhuma experiência em programação. Ele costuma ser utilizado por pequenas empresas para automatizar fluxos de trabalho rotineiros. Infelizmente, é justamente essa simplicidade que torna o AppSheet tão atraente para os cibercriminosos. Hoje em dia, basta investir alguns dólares para montar rapidamente um aplicativo usando comandos e blocos prontos para executar um golpe de phishing.


O roteiro dos ataques de phishing por meio do AppSheet é bastante convencional. A vítima recebe um e-mail supostamente enviado por uma grande empresa, e essas mensagens frequentemente começam chamando o destinatário pelo nome. Tudo indica que os invasores utilizam dados vazados para associar nomes a endereços de e-mail específicos.


Em seguida, eles exploram as emoções da vítima, usando a estratégia da ameaça ou da recompensa. Eles podem provocar pânico com avisos urgentes que exigem ação imediata, como “Sua conta será desativada em breve” ou “Atividade suspeita detectada”. Ou podem atrair a vítima com uma oferta irresistível, como a promessa de um selo de verificação ou um convite para uma entrevista em uma grande empresa de tecnologia. Esses falsos e-mails de recrutamento são projetados para gerar entusiasmo imediato. Eles fazem parecer que a candidatura da pessoa foi priorizada e recebeu uma excelente avaliação, sugerindo que uma proposta de emprego pode chegar já no dia seguinte.


Para a maioria das pessoas, essas mensagens não despertam qualquer suspeita. O e-mail passa diretamente pela pasta de spam e o campo De exibe exatamente o nome da empresa que o destinatário esperaria ver. Infelizmente, nada disso significa que o e-mail seja autêntico: os invasores podem definir qualquer nome de exibição que desejarem. E, convenhamos, poucas pessoas realmente param para verificar cuidadosamente o endereço de e-mail do remetente.


Nas campanhas de phishing baseadas no AppSheet, o remetente é sempre o mesmo: noreply{@}appsheet.com. Mas aqui está o detalhe mais importante: esse endereço é 100% legítimo. Como está diretamente vinculado à infraestrutura do Google, há uma grande chance de que filtros antispam tradicionais permitam a passagem desses e-mails sem qualquer questionamento.


Naturalmente, para garantir aquela entrevista tão desejada ou resolver um problema na conta, a vítima clica no link e acaba entregando voluntariamente toda a sua identidade digital em um site falso: nome completo, endereço, telefone, entre outros dados. A partir daí, os invasores podem vender as informações coletadas na dark web ou utilizá-las em ataques direcionados posteriores. Para piorar, a vítima é redirecionada para uma página falsa de login, permitindo que os invasores roubem suas contas.


Veja de forma detalhada como uma vítima pode receber um e-mail falso do Google Careers e acabar com sua conta totalmente comprometida:


appsheet-phishing-emails-01-502×465-1

Olá, candidato! Que tal clicar no link do nosso site falso do Google e agendar uma entrevista?

appsheet-phishing-emails-02-502×465-1

O link presente no e-mail leva para um site fraudulento cujo design é praticamente indistinguível do original. O usuário é solicitado a preencher um formulário informando nome completo, e-mail profissional, telefone e data preferencial para a entrevista…

appsheet-phishing-emails-03-502×465-1

… Depois de preencher o formulário, a vítima recebe uma solicitação para fazer login com suas credenciais do Google. Todos os dados são enviados diretamente para os invasores.

Campanhas semelhantes também são realizadas em nome de outras grandes marcas de tecnologia. Usuários que entregam os dados de suas contas Apple correm o risco não apenas de perder a conta, mas também o controle de todos os seus dispositivos Apple. Os invasores podem pressionar a vítima a sair de seu Apple ID pessoal e entrar em uma suposta “conta corporativa” para fins de verificação, que na verdade é uma conta Apple controlada por eles. No momento em que a vítima faz isso, os criminosos assumem o controle remoto completo do dispositivo utilizado, frequentemente ativando o Modo Perdido para bloquear o acesso e manter o aparelho como refém em troca de um resgate.


Para piorar, os invasores nem sempre incluem um link malicioso no e-mail inicial. Em vez disso, apostam em uma abordagem de longo prazo, envolvendo a vítima em uma conversa ao pedir que responda à mensagem para confirmar seu interesse. Essa técnica cria a ilusão de que a pessoa está interagindo com um recrutador real. E esse tipo de golpe não se limita ao Vale do Silício. Os invasores frequentemente se passam por marcas mundialmente conhecidas, como a Volvo ou a Coca-Cola. É claro que é muito improvável que os invasores queiram acessar uma conta da Coca-Cola, mesmo supondo que o usuário tenha uma. O objetivo mais provável é roubar informações confidenciais ou convencer a vítima a fazer login em uma página de phishing usando suas credenciais do Google, Apple, Facebook etc.


appsheet-phishing-emails-04

Um suposto membro da equipe de RH da Coca-Cola entra em contato para elogiar a vítima, destacando exageradamente sua experiência, conquistas, capacidade analítica e criatividade... Os invasores deliberadamente ocultam seu objetivo final: seja direcionar a vítima para um site de phishing, assumir o controle de suas contas ou aplicar um golpe financeiro direto

appsheet-phishing-emails-05

Um e-mail semelhante, fingindo ser da equipe de recrutamento da Volvo

Você quer se tornar Meta Verified?

É claro que os “empregos dos sonhos” não são a única isca utilizada. Foram observadas campanhas nas quais o “Suporte do Facebook” informa ao usuário que ele foi considerado elegível para o prestigioso selo Meta Verified, o famoso selo azul normalmente associado a celebridades de destaque e grandes marcas globais. Para obter o cobiçado selo azul, a vítima é direcionada para uma página de phishing onde deve preencher um formulário de identidade antes de entregar o prêmio principal: seu nome de usuário e senha do Facebook. E tudo isso, naturalmente, em nome da segurança!


Esses sites falsos são criados em diversos idiomas e adaptados a usuários de diferentes países. Abaixo está a versão em holandês.


appsheet-phishing-emails-06-700×377-1

Para obter o selo azul, o usuário deve fornecer “informações adicionais”. Se perder o prazo por apenas alguns dias, a oferta expira

appsheet-phishing-emails-07-700×377-1

Depois de preencher os campos padrão (nome, telefone, e-mails pessoal e profissional e data de nascimento), surge uma solicitação para informar a senha do Facebook

Em outras campanhas, os invasores utilizam o Google AppSheet para explorar o medo e a urgência, alegando que o usuário violou a política de propriedade intelectual do Meta e ameaçando encerrar imediatamente sua conta do Facebook. Para recorrer da decisão, a vítima deve clicar em um link para… um site de phishing, fornecer seus dados pessoais e, claro, informar seu nome de usuário e senha do Facebook.


appsheet-phishing-emails-08-313×465-1

Para tornar a história mais convincente, o usuário não apenas precisa preencher seus dados pessoais, mas também explicar detalhadamente por que a decisão de encerrar a conta foi um erro

appsheet-phishing-emails-09-313×465-1

Por fim, o usuário é solicitado a confirmar o recurso fazendo login no “Facebook”. Na realidade, está apenas entregando suas credenciais diretamente para os invasores

Como identificar ataques de phishing e proteger suas contas

Infelizmente, os ataques de phishing estão cada vez mais sofisticados, e os invasores exploram regularmente a reputação de serviços e domínios legítimos. Veja como evitar cair nessas armadilhas e proteger seus dados:


Lembre-se: nem todos os e-mails de phishing vão parar na pasta de spam. Os filtros antispam padrão dos clientes de e-mail frequentemente falham em detectar ataques avançados, e o caso do AppSheet é um excelente exemplo disso. Para evitar cair nesse tipo de golpe, use o Kaspersky Premium em todos os seus dispositivos. Ele intercepta e-mails de phishing e bloqueia instantaneamente links para sites falsos, mesmo quando o criminoso está se escondendo atrás de um domínio totalmente legítimo. Além disso, a versão para Android consegue detectar links maliciosos e de phishing em mensagens de qualquer aplicativo.

Verifique se há erros de digitação estranhos no texto do e-mail. Para evitar levantar suspeitas, os invasores frequentemente inserem espaços invisíveis ou substituem caracteres de forma sutil. Veja este exemplo encontrado em um dos e-mails analisados: Fac eb o ok S u ppo r t em vez de Facebook Support.

Antes de executar qualquer ação em um site, verifique cuidadosamente seu nome de domínio em relação ao endereço oficial. Os golpistas costumam criar endereços que parecem legítimos à primeira vista, mas revelam diferenças quando examinados com atenção. Instale Kaspersky Premium para garantir que você não acesse um site falso.

Observe primeiro o endereço de email do remetente, e não apenas o nome de exibição. Se um e-mail afirmar ser do Google Careers, Apple HR ou Facebook Support, mas o endereço do remetente apontar para o AppSheet ou outro serviço sem relação com a empresa, nem vale a pena continuar lendo. Essa incompatibilidade entre o nome de exibição e o domínio do remetente é um forte indício de golpe. Compare os endereços de e-mail com aqueles divulgados nos sites oficiais das empresas.

Verifique a assinatura do e-mail. Por exemplo, todos os e-mails enviados pelo AppSheet incluem uma observação informativa no rodapé. É muito mais provável receber uma notificação legítima do AppSheet de uma pequena empresa ou negócio local do que de uma gigante da tecnologia. Grandes corporações normalmente utilizam seus próprios domínios para envio de e-mails.

Use um gerenciador de senhas. Mesmo que você acesse um site falso e tente inserir sua senha, um gerenciador de senhas confiável alertará sobre a incompatibilidade do domínio e se recusará a preencher automaticamente seu nome de usuário e senha.

Não se esqueça da autenticação de dois fatores. Quando ela está ativada, apenas o nome de usuário e a senha não são suficientes para que os invasores acessem sua conta; eles também precisarão de um código temporário. Ainda assim, eles podem tentar enganá-lo para obter esse código, portanto, tenha atenção redobrada sempre que inserir códigos de autenticação de dois fatores.

Sempre que possível, utilize chaves de acesso em vez de senhas. Essa tecnologia oferece excelente proteção contra phishing: mesmo que você visite um site malicioso e tente fazer login, a chave de acesso não funcionará em um domínio falso. Você pode armazenar e sincronizar chaves de acesso entre diferentes dispositivos no Kaspersky Password Manager. Leia nosso artigo sobre o assunto para saber mais sobre como as chaves de acesso funcionam.

Os ataques de phishing estão se tornando cada vez mais sofisticados. Veja também outros temas importantes relacionados a phishing:



Comentários

Postar um comentário

Postagens mais visitadas deste blog

Apple Intelligence

  O iOS 18.2 trouxe  uma série de novos recursos dentro da suíte Apple Intelligence   e isso também está exigindo mais armazenamento livre nos iPhones, iPads e Macs compatíveis. Conforme as novas diretrizes da Apple, agora  o usuário precisa manter ao menos 7 GB de memória livre  no dispositivo caso deseje usar as funcionalidades de Inteligência Artificial. Ou seja, um aumento considerável em relação aos 4 GB de armazenamento  exigidos anteriormente no iOS 18.1 . A Apple diz que essa mudança é necessária porque muitas das funções de IA são processadas localmente pela NPU Apple Silicon, algo que exige mais espaço de memória. Caso o usuário não tenha os 7 GB disponíveis, ele será impedido de usar a IA para gerar emojis (Genmoji) ou conversar com a nova Siri, que tem o ChatGPT integrado.   Recursos mais "simples", como a tradução ou resumo de textos, também deixam de funcionar. Na prática, usuários que procuram comprar os novos aparelhos da linha  iP...
Postar um comentário
Read more »

“internet zumbi”

 A ascensão do slop, diz ele, transformou a rede social em um espaço onde “uma mistura de bots, humanos e contas que já foram humanos, mas não se misturam mais para formar um site desastroso onde há pouca conexão social”. Nick Clegg, presidente de assuntos globais da empresa-mãe do Facebook, Meta, escreveu em fevereiro que a rede social está treinando seus sistemas para identificar conteúdo feito por IA. “Como a diferença entre conteúdo humano e sintético fica turva, as pessoas querem saber onde está o limite”, escreveu ele. O problema começou a preocupar a principal fonte de receita da indústria de mídia social: as agências de publicidade que pagam para colocar anúncios ao lado do conteúdo. Farhad Divecha, diretor-gerente da agência de marketing digital AccuraCast, com sede no Reino Unido, diz que agora está encontrando casos em que os usuários estão sinalizando erroneamente os anúncios como slop feitos de IA quando não estão. “Vimos casos em que as pessoas comentara...
Postar um comentário
Read more »

Cibersegurança: Confiança zero… desconfiança por omissão

  Atualmente, todas as empresas têm presença digital. Embora este facto traga inúmeros benefícios, também acarreta uma série de riscos. Os cibercriminosos estão a encontrar cada vez mais formas de contornar as medidas de segurança e aceder aos dados. Se a proteção não for suficientemente forte, os dados das organizações, dos seus clientes e dos seus parceiros podem ser comprometidos, com consequências terríveis para as empresas. A crescente digitalização, juntamente com a evolução das táticas dos cibercriminosos, está a resultar num aumento dos incidentes de cibersegurança. Esta tendência preocupante é demonstrada no último Relatório de Violação de Dados, realizado pelo Internet Theft Resource Center (ITRC), que regista 2.365 ciberataques em 2023 que afetaram mais de 300 milhões de vítimas. Com este conhecimento, é essencial que as empresas tomem medidas e protejam os seus sistemas para evitar que utilizadores não identificados acedam a informações sensíveis. Só assim será possível...
Postar um comentário
Read more »