Recebe um email. Parece ser do Google Classroom. Tudo normal. Abre. O problema é que a normalidade foi a arma usada por um grupo de cibercriminosos para uma campanha de phishing em massa.
A Check Point descobriu a campanha: 115 mil e-mails, 13.500 empresas e organizações na mira, tudo a coberto pela reputação da Google. O alvo, no fundo, era a nossa confiança.
A tática revela uma tendência cada vez mais comum e preocupante: o abuso de serviços na nuvem em que todos confiamos para contornar as defesas digitais que deveriam proteger-nos.
A mecânica da campanha de phishing
A tática era engenhosa pela sua simplicidade. Os atacantes não precisaram de explorar falhas de segurança. Limitaram-se a usar o Google Classroom para o que ele serve: enviar convites. Só que, em vez de trabalhos de casa, os convites traziam propostas de negócio absurdas, como serviços de SEO.
O e-mail passava pelos filtros porque, tecnicamente, era legítimo. Vinha do Google. O objetivo final era levar a vítima para o WhatsApp, um território sem a vigilância das equipas de TI, onde a fraude podia acontecer longe de olhares indiscretos.
Como não ser a próxima vítima
Então, o que fazer? A tecnologia ajuda, mas a desconfiança é a melhor ferramenta. Rui Duro, da Check Point Portugal, reforça que os atacantes estão a reciclar ferramentas do dia a dia. A primeira regra é o bom senso: uma proposta de SEO via Google Classroom não faz sentido. É preciso treinar as equipas para detetar estas incongruências.
Segundo, a conversa nunca deve sair do ambiente de trabalho para canais como o WhatsApp a pedido de um estranho. É o equivalente a seguir um desconhecido para um beco escuro. Por fim, as empresas precisam de sistemas de segurança que não olhem só para quem envia, mas para o que é pedido no email.
Conclusão
No fim de contas, este ataque não foi sobre tecnologia. Foi sobre psicologia. Explorou a nossa tendência para baixar a guarda perante uma marca familiar. E deixa um aviso claro para o futuro: na cibersegurança, a confiança cega é o risco mais caro que uma empresa pode correr.
Outros artigos interessantes:
