Alertando contra fraudes digitais é essencial em tempos em que novas técnicas de phishing surgem a cada dia. Recentemente, e-mails maliciosos disfarçados de notificações de compras têm sido enviados a usuários por meio de convites do Calendário do iCloud. Como um verdadeiro golpe, essas mensagens parecem vir de servidores legítimos da Apple, passando pelo filtros de spam da caixa de entrada de suas vítimas. O esquema foi exposto pelo site Bleeping Computer após um alerta de um leitor enganado.
Um exemplo do golpe traz uma mensagem que afirma: “Olá, cliente, sua conta do PayPal foi cobrada em US$ 599,00. Estamos confirmando o recebimento do seu pagamento recente.” Esses criminosos tentam coagir o usuário a baixar um software, alegando que sua conta foi hackeada. O resultado? Roubo de dados pessoais e, em alguns casos, de dinheiro.
O que torna o golpe ainda mais astuto é que os e-mails são enviados com o domínio [email protected], o que gera uma falsa sensação de segurança. A técnica utilizada envolve incluir o texto de phishing
Alertando contra fraudes digitais é essencial em tempos em que novas técnicas de phishing surgem a cada dia. Recentemente, e-mails maliciosos disfarçados de notificações de compras têm sido enviados a usuários por meio de convites do Calendário do iCloud. Como um verdadeiro golpe, essas mensagens parecem vir de servidores legítimos da Apple, passando pelos filtros de spam da caixa de entrada de suas vítimas. O esquema foi exposto pelo site Bleeping Computer após um alerta de um leitor enganado.
Um exemplo do golpe traz uma mensagem que afirma: “Olá, cliente, sua conta do PayPal foi cobrada em US$ 599,00. Estamos confirmando o recebimento do seu pagamento recente.” Esses criminosos tentam coagir o usuário a baixar um software, alegando que sua conta foi hackeada. O resultado? Roubo de dados pessoais e, em alguns casos, de dinheiro.
O que torna o golpe ainda mais astuto é que os e-mails são enviados do domínio [email protected], gerando uma falsa sensação de segurança. A técnica utilizada envolve incluir o texto de phishing no campo Notas de um convite do Calendário do iCloud, direcionado a um e-mail no Microsoft 365 controlado pelo criminoso. Isso sugere que o endereço da Microsoft é uma lista de distribuição, aumentando a credibilidade da mensagem.
Um dos mecanismos usados para burlar a segurança é o Sender Rewriting Scheme (SRS), que altera o caminho do e-mail, permitindo que ele passe pelas verificações de segurança. “Esses ataques, como o do Calendário do iCloud, conseguem contornar as autenticações SPF/DKIM/DMARC e chegam às caixas de entrada com um ar de legitimidade”, alerta Javvad Malik, consultor da KnowBe4.
Embora esse golpe tenha sido notado, o cenário de ameaças cibernéticas é vasto. Recentemente, um golpe similar explorou serviços do Google para enviar e-mails falsos que imitavam alertas de intimação judicial. Essas táticas, mesmo se camufladas, podem enganar até os usuários mais atentos.
Como se proteger? Aqui vão algumas dicas essenciais:
- Desative a aceitação automática de convites.
- Aplique autenticação multifator.
- Evite responder a números desconhecidos.
- Configure os filtros de e-mail para serem mais rigorosos.
Malik aconselha: “Sempre questione se a comunicação era esperada, se provoca emoção e se tem um prazo apertado. Em caso positivo, verifique através de canais confiáveis. E trate convites de calendário com o mesmo ceticismo que aplica a e-mails.”
Fique atento e compartilhe essas dicas com seus amigos. Juntos, podemos fortalecer nossa defesa contra fraudes digitais. Temos a curiosidade de saber: você já recebeu um desses e-mails? Como agiu? Comente abaixo!