Uma nova e sofisticada técnica de ataque digital está permitindo que criminosos insiram compromissos falsos, repletos de links e anexos maliciosos, diretamente nos calendários de usuários do Google Workspace e Microsoft 365. A tática, denominada phishing ICS, explora a funcionalidade de agendamento automático de eventos via e-mail, conseguindo furar as barreiras de segurança que normalmente bloqueiam mensagens suspeitas na caixa de entrada.
O mecanismo de defesa de e-mail pode até identificar a mensagem maliciosa e enviá-la para quarentena, mas o evento de calendário com todo o conteúdo do golpe já foi criado e permanece na agenda da vítima. Essa lacuna de segurança representa um salto na sofisticação dos ataques, focando em uma área — o calendário — que as soluções de segurança baseadas em API e gateways tradicionais não conseguem monitorar ou remediar efetivamente após a criação do evento.
O funcionamento do golpe: da caixa de entrada para a agenda
A vulnerabilidade reside na maneira como o Google e a Microsoft processam o formato .ics (Internet Calendar Scheduling), padrão para convites de calendário. Ao receber um e-mail com este arquivo anexado, ambas as plataformas criam o evento automaticamente na agenda, sem exigir qualquer confirmação ou clique do usuário, um recurso desenhado para facilitar a rotina corporativa.
O problema se agrava porque a maioria das soluções de segurança de e-mail não tem capacidade de remover entradas maliciosas já criadas nos calendários. A mensagem original pode ser eliminada, mas o agendamento permanece ativo.
No Microsoft 365, a situação é particularmente crítica, pois a plataforma transfere automaticamente os anexos do e-mail para o evento de calendário. Isso significa que um anexo perigoso, como um PDF ou HTML malicioso, migra da mensagem bloqueada para a agenda sem passar por uma nova análise de segurança.
Estratégias de abuso de confiança e instruções conflitantes
Um dos ataques identificados mostra como os criminosos utilizam serviços legítimos para conferir credibilidade ao golpe. Neste caso, foi usado o FreeConferenceCall.com, uma plataforma real para reuniões virtuais, para agendar uma teleconferência.
- O golpista agenda uma reunião legítima no serviço, que gera o convite padrão com dados de acesso.
- No corpo do e-mail, é inserida uma “instrução conflitante”: uma mensagem que pede para a vítima ignorar os dados automáticos e ligar para um número de telefone alternativo, controlado pelo criminoso.
- O arquivo .ics do convite de calendário é gerado com as informações maliciosas, garantindo que o número falso chegue à agenda da vítima.
- A vítima, ao ver o evento oficializado na agenda dias depois, liga para o número e cai diretamente no phishing de voz.
Ataques com código QR e kit de phishing profissional
Outras táticas revelam o investimento em profissionalismo por parte dos atacantes. Um ataque minimalista utiliza um e-mail quase vazio, contendo apenas um PDF anexado com um código QR ladrão de credenciais
.O PDF se passa por um documento da Docusign e instrui a vítima a escanear o QR Code com o celular para “verificar seu documento” ou “assinar o contrato pendente”. Como o anexo é transferido para o evento de calendário, a vítima pode acessá-lo diretamente de sua agenda, meses após o e-mail original ter sido descartado. O uso de QR Code é estratégico, pois muitos sistemas de segurança não analisam seu conteúdo, e a ação no celular pode contornar proteções corporativas.
Um terceiro exemplo demonstra alta sofisticação. O evento falso não apenas utiliza gatilhos psicológicos como urgência e medo de perda
(“Seu domínio empresa.com.br expira em 48 horas”) mas também bloqueia a semana inteira na agenda da vítima sob o título de “INTERRUPÇÃO DE SERVIÇOS”. Para aumentar a credibilidade, a lista de participantes do evento inclui convidados fictícios com nomes genéricos como “Administrador” e “Suporte de TI”, simulando o envolvimento de outras áreas da empresa.A carga maliciosa deste ataque é um arquivo HTML anexado que, ao ser aberto, executa um kit de phishing completo localmente no computador da vítima, criando uma página falsa do Microsoft Domain Services no diretório temporário, o que torna a detecção mais difícil para filtros de rede.
Medidas de mitigação para proteger as contas corporativas
É fundamental que as empresas e usuários revisem as configurações de segurança de suas contas. É possível configurar o Google Workspace e o Microsoft 365 para bloquear convites automáticos, exigindo confirmação do usuário antes de criar o evento na agenda.
Essa simples mudança de configuração é a forma mais eficaz de mitigar o risco do phishing ICS, garantindo que o evento malicioso não se materialize na agenda mesmo que o e-mail não seja totalmente interceptado pelo gateway de segurança. A conscientização dos funcionários sobre a natureza do ataque é um complemento crucial.
A lacuna de segurança explorada no ICS
O sucesso do phishing via convites de calendário se deve à cegueira dos sistemas de defesa em relação ao backend das plataformas de produtividade. Os criminosos exploraram uma brecha que a maioria das empresas não sabia que existia, transformando uma ferramenta de produtividade em um vetor de ataque persistente e de difícil remoção. A adoção de novas estratégias de cibersegurança que monitorem ativamente os serviços de calendário é urgente para neutralizar esta ameaça em evolução.