{"id":17836,"date":"2021-07-29T20:37:45","date_gmt":"2021-07-29T23:37:45","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=17836"},"modified":"2021-07-29T21:05:10","modified_gmt":"2021-07-30T00:05:10","slug":"google-script-phishing","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/google-script-phishing\/17836\/","title":{"rendered":"Phishing com Google Apps Script"},"content":{"rendered":"

Para roubar credenciais de e-mail corporativo<\/a> de funcion\u00e1rios da empresa, os invasores devem primeiro passar pelas solu\u00e7\u00f5es antiphishing nos servidores de e-mail da empresa. Via de regra, usam servi\u00e7os da Web leg\u00edtimos (cada vez mais espec\u00edficos) como o Google Apps Script, plataforma baseada em JavaScript.<\/p>\n

O que \u00e9 o Apps Script e como os invasores o usam?<\/h2>\n

Apps Script \u00e9 uma plataforma em JavaScript para automatizar tarefas nos produtos do Google (por exemplo, criar complementos para o Google Docs), bem como em aplicativos de terceiros. Essencialmente, \u00e9 um servi\u00e7o para criar scripts e execut\u00e1-los na infraestrutura do Google.<\/p>\n

No phishing de email, os invasores usam o servi\u00e7o para redirecionamentos. Em vez de inserir a URL de um site malicioso diretamente em uma mensagem, os cibercriminosos podem esconder um link para um script. Dessa forma, podem contornar as solu\u00e7\u00f5es antiphishing no n\u00edvel do servidor de e-mail: um hiperlink para um site leg\u00edtimo do Google com boa reputa\u00e7\u00e3o passa pela maioria dos filtros. Como um benef\u00edcio auxiliar para os cibercriminosos, os sites de phishing n\u00e3o detectados podem permanecer no ar por mais tempo. Esse esquema tamb\u00e9m d\u00e1 aos invasores a flexibilidade de alterar o script, se necess\u00e1rio (no caso de as solu\u00e7\u00f5es de seguran\u00e7a pegarem) e de experimentar a entrega de conte\u00fado (por exemplo, enviar v\u00edtimas para diferentes vers\u00f5es do site dependendo de sua regi\u00e3o).<\/p>\n

Exemplo de golpe usando o Google Apps Script<\/h2>\n

Tudo o que os invasores precisam fazer \u00e9 fazer com que o usu\u00e1rio clique em um link. Recentemente, o pretexto mais comum era uma \u201ccaixa de entrada cheia\u201d. Em teoria, isso parece plaus\u00edvel.<\/p>\n

\"E-mail

E-mail de phishing t\u00edpico que usa um esquema de caixa de entrada cheia<\/p><\/div>\n

\u00a0<\/p>\n

Na pr\u00e1tica, os invasores geralmente s\u00e3o descuidados e deixam sinais de fraude que devem ser \u00f3bvios at\u00e9 mesmo para usu\u00e1rios que n\u00e3o est\u00e3o familiarizados com notifica\u00e7\u00f5es reais:<\/p>\n

\u25cf O e-mail aparentemente \u00e9 do Microsoft Outlook, mas o endere\u00e7o de e-mail do remetente tem um dom\u00ednio estrangeiro. Uma notifica\u00e7\u00e3o real sobre uma caixa de entrada cheia deve vir do servidor interno do Exchange. (Sinal de b\u00f4nus: o nome do remetente, Microsoft Outlook, est\u00e1 sem um espa\u00e7o e usa um zero em vez da letra O.)<\/p>\n

\u25cf O link, que aparece quando o cursor passa sobre \u201cCorrigir nas configura\u00e7\u00f5es de armazenamento\u201d, leva a um site do Google Apps Script:<\/p>\n

\"E-mail

E-mail link para o Google Apps Script<\/p><\/div>\n

\u00a0<\/p>\n

\u25cf As caixas de correio n\u00e3o excedem repentinamente seus limites. O Outlook come\u00e7a a alertar os usu\u00e1rios de que o espa\u00e7o est\u00e1 se esgotando muito antes de eles atingirem o limite. Exced\u00ea-lo repentinamente em 850 MB provavelmente significaria receber essa quantidade de spam de uma vez, o que \u00e9 extremamente improv\u00e1vel.<\/p>\n

De qualquer maneira, aqui est\u00e1 um exemplo de uma notifica\u00e7\u00e3o leg\u00edtima do Outlook:<\/p>\n

\"Notifica\u00e7\u00e3o

Notifica\u00e7\u00e3o leg\u00edtima sobre uma caixa de entrada quase cheia<\/p><\/div>\n

\u25cf O link \u201cCorrigir nas configura\u00e7\u00f5es de armazenamento\u201d redireciona para um site de phishing. Embora, neste caso, seja uma c\u00f3pia bastante convincente da p\u00e1gina de login da interface web do Outlook, uma olhada na barra de endere\u00e7o do navegador revela que a p\u00e1gina est\u00e1 hospedada em um site falsificado, n\u00e3o na infraestrutura da empresa.<\/p>\n

Como evitar cair no golpe<\/h2>\n

A experi\u00eancia mostra que os e-mails de phishing n\u00e3o precisam necessariamente conter links de phishing. Portanto, a prote\u00e7\u00e3o corporativa confi\u00e1vel deve incluir recursos antiphishing tanto no n\u00edvel do servidor de email<\/a>e nos computadores dos usu\u00e1rios<\/a>.<\/p>\n

Al\u00e9m disso, a prote\u00e7\u00e3o respons\u00e1vel precisa incluir[KASAP placeholder] treinamento cont\u00ednuo de conscientiza\u00e7\u00e3o do funcion\u00e1rio<\/a> [\/KASAP placeholder], abrangendo amea\u00e7as cibern\u00e9ticas e golpes de phishing atuais.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Golpistas est\u00e3o usando redirecionamentos por meio do Google Apps Script para impedir que os servidores de e-mail bloqueiem links de phishing.<\/p>\n","protected":false},"author":2598,"featured_media":17841,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[14],"tags":[1185,2754,221],"class_list":{"0":"post-17836","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-business","9":"tag-google-script","10":"tag-phishing"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/google-script-phishing\/17836\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/google-script-phishing\/23086\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/google-script-phishing\/18568\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/google-script-phishing\/9286\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/google-script-phishing\/25070\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/google-script-phishing\/23081\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/google-script-phishing\/22421\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/google-script-phishing\/25708\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/google-script-phishing\/25188\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/google-script-phishing\/31108\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/google-script-phishing\/9864\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/google-script-phishing\/40795\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/google-script-phishing\/17376\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/google-script-phishing\/15083\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/google-script-phishing\/27110\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/google-script-phishing\/31288\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/google-script-phishing\/27325\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/google-script-phishing\/24129\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/google-script-phishing\/29463\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/google-script-phishing\/29255\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/business\/","name":"Business"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/17836","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2598"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=17836"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/17836\/revisions"}],"predecessor-version":[{"id":17840,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/17836\/revisions\/17840"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/17841"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=17836"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=17836"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=17836"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}