Hackers usam notificações do Google Agenda para roubar seus dados
Agora até as notificações no seu celular podem ser usadas para golpes...
Cibercriminosos estão usando as notificações do Google Agenda para roubar dados de vítimas. O golpe acontece por meio da exploração de um recurso comum do Agenda: ele mostra notificações de eventos na tela do smartphone de maneira automática, pedindo para o usuário aceitar ou declinar o convite; e o perigo está aí.
O Google Agenda está conectado ao Gmail, então, "criminosos enviam um convite de calendário não solicitado a um destinatário, contendo um link para um URL de phishing", explicou a pesquisadora da Kaspersky Maria Vergelis. "Uma notificação pop-up do convite aparece na tela do smartphone, e o destinatário é incentivado a clicar no link. O site onde eles são direcionados, então, diz às vítimas para inserir seus dados de cartão de crédito e adicionar algumas informações pessoais — que são enviadas diretamente para os golpistas".
A Kaspersky nota, entre as vítimas observadas no mês de maio deste ano, que não foi "só" o roubo de dados enviado pelas notificações: algumas delas também continham links para download de malwares.
Ao Threatpost, Maria Vergelis comentou que "esse vetor de ataque pode ser usado para qualquer campanha, incluindo a disseminação de links maliciosos. A capacidade de explorar serviços legais que são tão populares e conhecidos entre os usuários em todo o mundo (o número de vítimas em potencial é enorme) é notável".
Na campanha observada em maio, as vítimas eram redirecionadas para um site que exibia um tipo de questionário. Para fisgar interessados, ainda era comentado que, ao responder as perguntas, o usuário ganharia um prêmio em dinheiro. Os dados de cartão de crédito eram roubados no momento que o site exigia essas informações para uma "taxa fixa" do questionário.
A Kaspersky também nota que não foi apenas o Google Agenda, mas outros serviços também tiveram suas notificações exploradas, como o Google Fotos, Google Hangouts, Google Ads e Google Analytics. Em cada um deles, a notificação era pareada com o serviço: por exemplo, no Analytics, ela falava sobre "um relatório estatístico de visitas".
Infelizmente, a única de se proteger de receber notificações como essa é desativando os convites automáticos feitos pelo Google Agenda. Mas, vale a dica de sempre prestar atenção nos sites que acessa e, jamais, repassar dados pessoais e bancários em sites que oferecem promoções e questionários com preços e prêmios duvidosos.