Golpistas usam convites de calendário para driblar filtros de e-mail no Google Workspace e no Microsoft 365

São Paulo, 3 de novembro de 2025 – Criminosos digitais passaram a explorar convites de calendário em formato .ics para distribuir golpes que escapam das barreiras tradicionais de segurança de e-mail. A técnica, identificada pela empresa de cibersegurança Sublime Security, atinge diretamente usuários de Google Workspace e Microsoft 365, que criam automaticamente eventos a partir desse tipo de anexo.

Como o golpe acontece

Quando um e-mail contém um arquivo .ics, as duas plataformas adicionam o compromisso à agenda do destinatário sem exigir qualquer confirmação. Caso a mensagem seja detectada como suspeita e movida para quarentena, o evento já estará salvo no calendário, mantendo links, anexos e instruções do golpe à disposição da vítima.

No Microsoft 365, o risco é maior: anexos bloqueados na caixa de entrada são copiados para o evento criado, o que inclui PDFs, arquivos HTML e outros conteúdos maliciosos que deixam de ser verificados pelos filtros de segurança.

Métodos observados

Três campanhas foram analisadas pela Sublime Security:

  • Teleconferência falsa – Golpistas utilizam o serviço legítimo FreeConferenceCall.com para gerar convites. No corpo do e-mail, instruções “conflitantes” substituem o número oficial por outro controlado pelos criminosos. Mesmo se o e-mail for excluído, o evento permanece com as informações fraudulentas.
  • PDF com QR Code bancário – Um convite praticamente vazio traz apenas um PDF anexado. Ao ser copiado para o calendário do Microsoft 365, o arquivo fica acessível à vítima. O documento se passa por mensagem da Docusign e exibe um QR Code que direciona a uma página de phishing para roubo de credenciais.
  • Alerta de domínio expirando – Mensagem alega que o domínio da empresa vencerá em 48 horas. O evento bloqueia toda a semana na agenda e lista participantes fictícios para aumentar a pressão. O arquivo HTML anexo gera localmente uma página falsa do Microsoft Domain Services e, em seguida, solicita login e senha em um formulário que imita a GoDaddy.

Como se proteger

Especialistas recomendam desativar a criação automática de eventos:

Google Workspace

Golpistas usam convites de calendário para driblar filtros de e-mail no Google Workspace e no Microsoft 365 - Imagem do artigo original

Imagem: Internet

  1. Acesse o Console de Administração;
  2. Vá em Aplicativos > Google Workspace > Calendário;
  3. Em Configurações Avançadas, localize “Adicionar convites ao meu calendário”;
  4. Altere para “Somente convites de remetentes conhecidos” ou “Convites respondidos por e-mail”.

Microsoft 365

  1. Abrir PowerShell como administrador;
  2. Conectar-se ao Exchange Online;
  3. Executar: Set-CalendarProcessing -Identity [email] -AutomateProcessing None.

O comando pode ser aplicado individualmente ou em lote, impedindo que o “Assistente de Calendário” processe convites sem aprovação prévia.

Com informações de TecMundo

Rolar para cima