{"id":25051,"date":"2026-06-09T10:00:27","date_gmt":"2026-06-09T13:00:27","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=25051"},"modified":"2026-06-08T13:18:13","modified_gmt":"2026-06-08T16:18:13","slug":"appsheet-phishing-emails","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/appsheet-phishing-emails\/25051\/","title":{"rendered":"Invasores exploram AppSheet para roubar dados e credenciais"},"content":{"rendered":"

As campanhas de phishing tornaram-se significativamente mais sofisticadas e convincentes nos \u00faltimos anos. Os endere\u00e7os dos remetentes agora s\u00e3o quase id\u00eanticos aos leg\u00edtimos. Os e-mails s\u00e3o redigidos de forma impec\u00e1vel e os usu\u00e1rios s\u00e3o chamados pelo nome. Mas o que fazer quando um e-mail suspeito vem de um endere\u00e7o claramente leg\u00edtimo?<\/p>\n

Recentemente, os phishers passaram a explorar a plataforma Google AppSheet para configurar disparos de e-mail originados de um endere\u00e7o oficial vinculado ao Google. Ap\u00f3s um ataque bem-sucedido, eles acabam obtendo acesso \u00e0s contas das v\u00edtimas e a dados confidenciais.<\/p>\n

Neste artigo, explicamos como esse novo esquema de roubo de dados funciona e como se proteger desses ataques de phishing cada vez mais dif\u00edceis de identificar.<\/p>\n

O Google est\u00e1 oferecendo um emprego a voc\u00ea. Ou a Coca-Cola. Ou talvez a Volvo. Mas ser\u00e1 mesmo?<\/h2>\n

O AppSheet \u00e9 um servi\u00e7o do Google que permite criar aplicativos sem nenhuma experi\u00eancia em programa\u00e7\u00e3o. Ele costuma ser utilizado por pequenas empresas para automatizar fluxos de trabalho rotineiros. Infelizmente, \u00e9 justamente essa simplicidade que torna o AppSheet t\u00e3o atraente para os cibercriminosos. Hoje em dia, basta investir alguns d\u00f3lares<\/a> para montar rapidamente um aplicativo usando comandos e blocos prontos para executar um golpe de phishing.<\/p>\n

O roteiro dos ataques de phishing por meio do AppSheet \u00e9 bastante convencional. A v\u00edtima recebe um e-mail supostamente enviado por uma grande empresa, e essas mensagens frequentemente come\u00e7am chamando o destinat\u00e1rio pelo nome. Tudo indica que os invasores utilizam dados vazados para associar nomes a endere\u00e7os de e-mail espec\u00edficos.<\/p>\n

Em seguida, eles exploram as emo\u00e7\u00f5es da v\u00edtima, usando a estrat\u00e9gia da amea\u00e7a ou da recompensa. Eles podem provocar p\u00e2nico com avisos urgentes que exigem a\u00e7\u00e3o imediata, como \u201cSua conta ser\u00e1 desativada em breve\u201d ou \u201cAtividade suspeita detectada\u201d. Ou podem atrair a v\u00edtima com uma oferta irresist\u00edvel, como a promessa de um selo de verifica\u00e7\u00e3o ou um convite para uma entrevista em uma grande empresa de tecnologia. Esses falsos e-mails de recrutamento s\u00e3o projetados para gerar entusiasmo imediato. Eles fazem parecer que a candidatura da pessoa foi priorizada e recebeu uma excelente avalia\u00e7\u00e3o, sugerindo que uma proposta de emprego pode chegar j\u00e1 no dia seguinte.<\/p>\n

Para a maioria das pessoas, essas mensagens n\u00e3o despertam qualquer suspeita. O e-mail passa diretamente pela pasta de spam e o campo De<\/em> exibe exatamente o nome da empresa que o destinat\u00e1rio esperaria ver. Infelizmente, nada disso significa que o e-mail seja aut\u00eantico: os invasores podem definir qualquer nome de exibi\u00e7\u00e3o que desejarem. E, convenhamos, poucas pessoas realmente param para verificar cuidadosamente o endere\u00e7o de e-mail do remetente.<\/p>\n

Nas campanhas de phishing baseadas no AppSheet, o remetente \u00e9 sempre o mesmo: noreply{@}appsheet.com<\/strong>. Mas aqui est\u00e1 o detalhe mais importante: esse endere\u00e7o \u00e9 100% leg\u00edtimo. Como est\u00e1 diretamente vinculado \u00e0 infraestrutura do Google, h\u00e1 uma grande chance de que filtros antispam tradicionais permitam a passagem desses e-mails sem qualquer questionamento.<\/p>\n

Naturalmente, para garantir aquela entrevista t\u00e3o desejada ou resolver um problema na conta, a v\u00edtima clica no link e acaba entregando voluntariamente toda a sua identidade digital em um site falso: nome completo, endere\u00e7o, telefone, entre outros dados. A partir da\u00ed, os invasores podem vender as informa\u00e7\u00f5es coletadas na dark web ou utiliz\u00e1-las em ataques direcionados posteriores<\/a>. Para piorar, a v\u00edtima \u00e9 redirecionada para uma p\u00e1gina falsa de login, permitindo que os invasores roubem suas contas.<\/p>\n

Veja de forma detalhada como uma v\u00edtima pode receber um e-mail falso do Google Careers e acabar com sua conta totalmente comprometida:<\/p>\n

\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\n\t\t\t\t\t\t\t\t\t\t\"\"\n\t\t\t\t\t\t\t\t\t<\/a>\n\t\t\t\t\t\t\t\t<\/dt>\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\tOl\u00e1, candidato! Que tal clicar no link do nosso site falso do Google e agendar uma entrevista? \n\t\t\t\t\t\t\t\t<\/dd>\n\t\t\t\t\t\t\t<\/dl>
\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\n\t\t\t\t\t\t\t\t\t\t\"\"\n\t\t\t\t\t\t\t\t\t<\/a>\n\t\t\t\t\t\t\t\t<\/dt>\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\tO link presente no e-mail leva para um site fraudulento cujo design \u00e9 praticamente indistingu\u00edvel do original. O usu\u00e1rio \u00e9 solicitado a preencher um formul\u00e1rio informando nome completo, e-mail profissional, telefone e data preferencial para a entrevista\u2026 \n\t\t\t\t\t\t\t\t<\/dd>\n\t\t\t\t\t\t\t<\/dl>
\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\n\t\t\t\t\t\t\t\t\t\t\"\"\n\t\t\t\t\t\t\t\t\t<\/a>\n\t\t\t\t\t\t\t\t<\/dt>\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\u2026 Depois de preencher o formul\u00e1rio, a v\u00edtima recebe uma solicita\u00e7\u00e3o para fazer login com suas credenciais do Google. Todos os dados s\u00e3o enviados diretamente para os invasores.\n\t\t\t\t\t\t\t\t<\/dd>\n\t\t\t\t\t\t\t<\/dl><\/div>\n

Campanhas semelhantes tamb\u00e9m s\u00e3o realizadas em nome de outras grandes marcas de tecnologia. Usu\u00e1rios que entregam os dados de suas contas Apple correm o risco n\u00e3o apenas de perder a conta, mas tamb\u00e9m o controle de todos os seus dispositivos Apple<\/a>. Os invasores podem pressionar a v\u00edtima a sair de seu Apple ID pessoal e entrar em uma suposta \u201cconta corporativa\u201d para fins de verifica\u00e7\u00e3o, que na verdade \u00e9 uma conta Apple controlada por eles. No momento em que a v\u00edtima faz isso, os criminosos assumem o controle remoto completo do dispositivo utilizado, frequentemente ativando o Modo Perdido para bloquear o acesso e manter o aparelho como ref\u00e9m em troca de um resgate.<\/p>\n

Para piorar, os invasores nem sempre incluem um link malicioso no e-mail inicial. Em vez disso, apostam em uma abordagem de longo prazo, envolvendo a v\u00edtima em uma conversa ao pedir que responda \u00e0 mensagem para confirmar seu interesse. Essa t\u00e9cnica cria a ilus\u00e3o de que a pessoa est\u00e1 interagindo com um recrutador real. E esse tipo de golpe n\u00e3o se limita ao Vale do Sil\u00edcio. Os invasores frequentemente se passam por marcas mundialmente conhecidas, como a Volvo ou a Coca-Cola. \u00c9 claro que \u00e9 muito improv\u00e1vel que os invasores queiram acessar uma conta da Coca-Cola, mesmo supondo que o usu\u00e1rio tenha uma. O objetivo mais prov\u00e1vel \u00e9 roubar informa\u00e7\u00f5es confidenciais ou convencer a v\u00edtima a fazer login em uma p\u00e1gina de phishing usando suas credenciais do Google, Apple, Facebook etc.<\/p>\n

\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\n\t\t\t\t\t\t\t\t\t\t\"\"\n\t\t\t\t\t\t\t\t\t<\/a>\n\t\t\t\t\t\t\t\t<\/dt>\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\tUm suposto membro da equipe de RH da Coca-Cola entra em contato para elogiar a v\u00edtima, destacando exageradamente sua experi\u00eancia, conquistas, capacidade anal\u00edtica e criatividade... Os invasores deliberadamente ocultam seu objetivo final: seja direcionar a v\u00edtima para um site de phishing, assumir o controle de suas contas ou aplicar um golpe financeiro direto \n\t\t\t\t\t\t\t\t<\/dd>\n\t\t\t\t\t\t\t<\/dl>
\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\n\t\t\t\t\t\t\t\t\t\t\"\"\n\t\t\t\t\t\t\t\t\t<\/a>\n\t\t\t\t\t\t\t\t<\/dt>\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\tUm e-mail semelhante, fingindo ser da equipe de recrutamento da Volvo \n\t\t\t\t\t\t\t\t<\/dd>\n\t\t\t\t\t\t\t<\/dl><\/div>\n

Voc\u00ea quer se tornar Meta Verified?<\/h2>\n

\u00c9 claro que os \u201cempregos dos sonhos\u201d n\u00e3o s\u00e3o a \u00fanica isca utilizada. Foram observadas campanhas nas quais o \u201cSuporte do Facebook\u201d informa ao usu\u00e1rio que ele foi considerado eleg\u00edvel para o prestigioso selo Meta Verified, o famoso selo azul normalmente associado a celebridades de destaque e grandes marcas globais. Para obter o cobi\u00e7ado selo azul, a v\u00edtima \u00e9 direcionada para uma p\u00e1gina de phishing onde deve preencher um formul\u00e1rio de identidade antes de entregar o pr\u00eamio principal: seu nome de usu\u00e1rio e senha do Facebook. E tudo isso, naturalmente, em nome da seguran\u00e7a!<\/p>\n

Esses sites falsos s\u00e3o criados em diversos idiomas e adaptados a usu\u00e1rios de diferentes pa\u00edses. Abaixo est\u00e1 a vers\u00e3o em holand\u00eas.<\/p>\n

\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\n\t\t\t\t\t\t\t\t\t\t\"\"\n\t\t\t\t\t\t\t\t\t<\/a>\n\t\t\t\t\t\t\t\t<\/dt>\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\tPara obter o selo azul, o usu\u00e1rio deve fornecer \u201cinforma\u00e7\u00f5es adicionais\u201d. Se perder o prazo por apenas alguns dias, a oferta expira \n\t\t\t\t\t\t\t\t<\/dd>\n\t\t\t\t\t\t\t<\/dl>
\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\n\t\t\t\t\t\t\t\t\t\t\"\"\n\t\t\t\t\t\t\t\t\t<\/a>\n\t\t\t\t\t\t\t\t<\/dt>\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\tDepois de preencher os campos padr\u00e3o (nome, telefone, e-mails pessoal e profissional e data de nascimento), surge uma solicita\u00e7\u00e3o para informar a senha do Facebook \n\t\t\t\t\t\t\t\t<\/dd>\n\t\t\t\t\t\t\t<\/dl><\/div>\n

Em outras campanhas, os invasores utilizam o Google AppSheet para explorar o medo e a urg\u00eancia, alegando que o usu\u00e1rio violou a pol\u00edtica de propriedade intelectual do Meta e amea\u00e7ando encerrar imediatamente sua conta do Facebook. Para recorrer da decis\u00e3o, a v\u00edtima deve clicar em um link para\u2026 um site de phishing, fornecer seus dados pessoais e, claro, informar seu nome de usu\u00e1rio e senha do Facebook.<\/p>\n

\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\n\t\t\t\t\t\t\t\t\t\t\"\"\n\t\t\t\t\t\t\t\t\t<\/a>\n\t\t\t\t\t\t\t\t<\/dt>\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\tPara tornar a hist\u00f3ria mais convincente, o usu\u00e1rio n\u00e3o apenas precisa preencher seus dados pessoais, mas tamb\u00e9m explicar detalhadamente por que a decis\u00e3o de encerrar a conta foi um erro \n\t\t\t\t\t\t\t\t<\/dd>\n\t\t\t\t\t\t\t<\/dl>
\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\n\t\t\t\t\t\t\t\t\t\t\"\"\n\t\t\t\t\t\t\t\t\t<\/a>\n\t\t\t\t\t\t\t\t<\/dt>\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\tPor fim, o usu\u00e1rio \u00e9 solicitado a confirmar o recurso fazendo login no \u201cFacebook\u201d. Na realidade, est\u00e1 apenas entregando suas credenciais diretamente para os invasores \n\t\t\t\t\t\t\t\t<\/dd>\n\t\t\t\t\t\t\t<\/dl><\/div>\n

Como identificar ataques de phishing e proteger suas contas<\/h2>\n

Infelizmente, os ataques de phishing est\u00e3o cada vez mais sofisticados, e os invasores exploram regularmente a reputa\u00e7\u00e3o de servi\u00e7os e dom\u00ednios leg\u00edtimos<\/a>. Veja como evitar cair nessas armadilhas e proteger seus dados:<\/p>\n