Invasores exploram AppSheet para roubar dados e credenciais

As campanhas de phishing tornaram-se significativamente mais sofisticadas e convincentes nos últimos anos. Os endereços dos remetentes agora são quase idênticos aos legítimos. Os e-mails são redigidos de forma impecável e os usuários são chamados pelo nome. Mas o que fazer quando um e-mail suspeito vem de um endereço claramente legítimo?

Recentemente, os phishers passaram a explorar a plataforma Google AppSheet para configurar disparos de e-mail originados de um endereço oficial vinculado ao Google. Após um ataque bem-sucedido, eles acabam obtendo acesso às contas das vítimas e a dados confidenciais.

Neste artigo, explicamos como esse novo esquema de roubo de dados funciona e como se proteger desses ataques de phishing cada vez mais difíceis de identificar.

O Google está oferecendo um emprego a você. Ou a Coca-Cola. Ou talvez a Volvo. Mas será mesmo?

O AppSheet é um serviço do Google que permite criar aplicativos sem nenhuma experiência em programação. Ele costuma ser utilizado por pequenas empresas para automatizar fluxos de trabalho rotineiros. Infelizmente, é justamente essa simplicidade que torna o AppSheet tão atraente para os cibercriminosos. Hoje em dia, basta investir alguns dólares para montar rapidamente um aplicativo usando comandos e blocos prontos para executar um golpe de phishing.

O roteiro dos ataques de phishing por meio do AppSheet é bastante convencional. A vítima recebe um e-mail supostamente enviado por uma grande empresa, e essas mensagens frequentemente começam chamando o destinatário pelo nome. Tudo indica que os invasores utilizam dados vazados para associar nomes a endereços de e-mail específicos.

Em seguida, eles exploram as emoções da vítima, usando a estratégia da ameaça ou da recompensa. Eles podem provocar pânico com avisos urgentes que exigem ação imediata, como “Sua conta será desativada em breve” ou “Atividade suspeita detectada”. Ou podem atrair a vítima com uma oferta irresistível, como a promessa de um selo de verificação ou um convite para uma entrevista em uma grande empresa de tecnologia. Esses falsos e-mails de recrutamento são projetados para gerar entusiasmo imediato. Eles fazem parecer que a candidatura da pessoa foi priorizada e recebeu uma excelente avaliação, sugerindo que uma proposta de emprego pode chegar já no dia seguinte.

Para a maioria das pessoas, essas mensagens não despertam qualquer suspeita. O e-mail passa diretamente pela pasta de spam e o campo De exibe exatamente o nome da empresa que o destinatário esperaria ver. Infelizmente, nada disso significa que o e-mail seja autêntico: os invasores podem definir qualquer nome de exibição que desejarem. E, convenhamos, poucas pessoas realmente param para verificar cuidadosamente o endereço de e-mail do remetente.

Nas campanhas de phishing baseadas no AppSheet, o remetente é sempre o mesmo: noreply{@}appsheet.com. Mas aqui está o detalhe mais importante: esse endereço é 100% legítimo. Como está diretamente vinculado à infraestrutura do Google, há uma grande chance de que filtros antispam tradicionais permitam a passagem desses e-mails sem qualquer questionamento.

Naturalmente, para garantir aquela entrevista tão desejada ou resolver um problema na conta, a vítima clica no link e acaba entregando voluntariamente toda a sua identidade digital em um site falso: nome completo, endereço, telefone, entre outros dados. A partir daí, os invasores podem vender as informações coletadas na dark web ou utilizá-las em ataques direcionados posteriores. Para piorar, a vítima é redirecionada para uma página falsa de login, permitindo que os invasores roubem suas contas.

Veja de forma detalhada como uma vítima pode receber um e-mail falso do Google Careers e acabar com sua conta totalmente comprometida:

Campanhas semelhantes também são realizadas em nome de outras grandes marcas de tecnologia. Usuários que entregam os dados de suas contas Apple correm o risco não apenas de perder a conta, mas também o controle de todos os seus dispositivos Apple. Os invasores podem pressionar a vítima a sair de seu Apple ID pessoal e entrar em uma suposta “conta corporativa” para fins de verificação, que na verdade é uma conta Apple controlada por eles. No momento em que a vítima faz isso, os criminosos assumem o controle remoto completo do dispositivo utilizado, frequentemente ativando o Modo Perdido para bloquear o acesso e manter o aparelho como refém em troca de um resgate.

Para piorar, os invasores nem sempre incluem um link malicioso no e-mail inicial. Em vez disso, apostam em uma abordagem de longo prazo, envolvendo a vítima em uma conversa ao pedir que responda à mensagem para confirmar seu interesse. Essa técnica cria a ilusão de que a pessoa está interagindo com um recrutador real. E esse tipo de golpe não se limita ao Vale do Silício. Os invasores frequentemente se passam por marcas mundialmente conhecidas, como a Volvo ou a Coca-Cola. É claro que é muito improvável que os invasores queiram acessar uma conta da Coca-Cola, mesmo supondo que o usuário tenha uma. O objetivo mais provável é roubar informações confidenciais ou convencer a vítima a fazer login em uma página de phishing usando suas credenciais do Google, Apple, Facebook etc.

Você quer se tornar Meta Verified?

É claro que os “empregos dos sonhos” não são a única isca utilizada. Foram observadas campanhas nas quais o “Suporte do Facebook” informa ao usuário que ele foi considerado elegível para o prestigioso selo Meta Verified, o famoso selo azul normalmente associado a celebridades de destaque e grandes marcas globais. Para obter o cobiçado selo azul, a vítima é direcionada para uma página de phishing onde deve preencher um formulário de identidade antes de entregar o prêmio principal: seu nome de usuário e senha do Facebook. E tudo isso, naturalmente, em nome da segurança!

Esses sites falsos são criados em diversos idiomas e adaptados a usuários de diferentes países. Abaixo está a versão em holandês.

Em outras campanhas, os invasores utilizam o Google AppSheet para explorar o medo e a urgência, alegando que o usuário violou a política de propriedade intelectual do Meta e ameaçando encerrar imediatamente sua conta do Facebook. Para recorrer da decisão, a vítima deve clicar em um link para… um site de phishing, fornecer seus dados pessoais e, claro, informar seu nome de usuário e senha do Facebook.

Como identificar ataques de phishing e proteger suas contas

Infelizmente, os ataques de phishing estão cada vez mais sofisticados, e os invasores exploram regularmente a reputação de serviços e domínios legítimos. Veja como evitar cair nessas armadilhas e proteger seus dados:

• Lembre-se: nem todos os e-mails de phishing vão parar na pasta de spam. Os filtros antispam padrão dos clientes de e-mail frequentemente falham em detectar ataques avançados, e o caso do AppSheet é um excelente exemplo disso. Para evitar cair nesse tipo de golpe, use o Kaspersky Premium em todos os seus dispositivos. Ele intercepta e-mails de phishing e bloqueia instantaneamente links para sites falsos, mesmo quando o criminoso está se escondendo atrás de um domínio totalmente legítimo. Além disso, a versão para Android consegue detectar links maliciosos e de phishing em mensagens de qualquer aplicativo.
• Verifique se há erros de digitação estranhos no texto do e-mail. Para evitar levantar suspeitas, os invasores frequentemente inserem espaços invisíveis ou substituem caracteres de forma sutil. Veja este exemplo encontrado em um dos e-mails analisados: Fac eb o ok  S u ppo r t em vez de Facebook Support.
• Antes de executar qualquer ação em um site, verifique cuidadosamente seu nome de domínio em relação ao endereço oficial. Os golpistas costumam criar endereços que parecem legítimos à primeira vista, mas revelam diferenças quando examinados com atenção. Instale Kaspersky Premium para garantir que você não acesse um site falso.
• Observe primeiro o endereço de email do remetente, e não apenas o nome de exibição. Se um e-mail afirmar ser do Google Careers, Apple HR ou Facebook Support, mas o endereço do remetente apontar para o AppSheet ou outro serviço sem relação com a empresa, nem vale a pena continuar lendo. Essa incompatibilidade entre o nome de exibição e o domínio do remetente é um forte indício de golpe. Compare os endereços de e-mail com aqueles divulgados nos sites oficiais das empresas.
• Verifique a assinatura do e-mail. Por exemplo, todos os e-mails enviados pelo AppSheet incluem uma observação informativa no rodapé. É muito mais provável receber uma notificação legítima do AppSheet de uma pequena empresa ou negócio local do que de uma gigante da tecnologia. Grandes corporações normalmente utilizam seus próprios domínios para envio de e-mails.
• Use um gerenciador de senhas. Mesmo que você acesse um site falso e tente inserir sua senha, um gerenciador de senhas confiável alertará sobre a incompatibilidade do domínio e se recusará a preencher automaticamente seu nome de usuário e senha.
• Não se esqueça da autenticação de dois fatores. Quando ela está ativada, apenas o nome de usuário e a senha não são suficientes para que os invasores acessem sua conta; eles também precisarão de um código temporário. Ainda assim, eles podem tentar enganá-lo para obter esse código, portanto, tenha atenção redobrada sempre que inserir códigos de autenticação de dois fatores.
• Sempre que possível, utilize chaves de acesso em vez de senhas. Essa tecnologia oferece excelente proteção contra phishing: mesmo que você visite um site malicioso e tente fazer login, a chave de acesso não funcionará em um domínio falso. Você pode armazenar e sincronizar chaves de acesso entre diferentes dispositivos no Kaspersky Password Manager. Leia nosso artigo sobre o assunto para saber mais sobre como as chaves de acesso funcionam.

Os ataques de phishing estão se tornando cada vez mais sofisticados. Veja também outros temas importantes relacionados a phishing:

• O que acontece com os dados roubados em ataques de phishing?
• Ataques browser-in-the-browser: da teoria à prática
• Phishing e spam: as campanhas mais ousadas de 2025
• Phishing em Mini Apps do Telegram: o que a papakha de Habib tem a ver com isso?
• Como phishers e golpistas usam IA