São Paulo, 3 de novembro de 2025 – Criminosos digitais passaram a explorar convites de calendário em formato .ics para distribuir golpes que escapam das barreiras tradicionais de segurança de e-mail. A técnica, identificada pela empresa de cibersegurança Sublime Security, atinge diretamente usuários de Google Workspace e Microsoft 365, que criam automaticamente eventos a partir desse tipo de anexo.
Como o golpe acontece
Quando um e-mail contém um arquivo .ics, as duas plataformas adicionam o compromisso à agenda do destinatário sem exigir qualquer confirmação. Caso a mensagem seja detectada como suspeita e movida para quarentena, o evento já estará salvo no calendário, mantendo links, anexos e instruções do golpe à disposição da vítima.
No Microsoft 365, o risco é maior: anexos bloqueados na caixa de entrada são copiados para o evento criado, o que inclui PDFs, arquivos HTML e outros conteúdos maliciosos que deixam de ser verificados pelos filtros de segurança.
Métodos observados
Três campanhas foram analisadas pela Sublime Security:
- Teleconferência falsa – Golpistas utilizam o serviço legítimo FreeConferenceCall.com para gerar convites. No corpo do e-mail, instruções “conflitantes” substituem o número oficial por outro controlado pelos criminosos. Mesmo se o e-mail for excluído, o evento permanece com as informações fraudulentas.
- PDF com QR Code bancário – Um convite praticamente vazio traz apenas um PDF anexado. Ao ser copiado para o calendário do Microsoft 365, o arquivo fica acessível à vítima. O documento se passa por mensagem da Docusign e exibe um QR Code que direciona a uma página de phishing para roubo de credenciais.
- Alerta de domínio expirando – Mensagem alega que o domínio da empresa vencerá em 48 horas. O evento bloqueia toda a semana na agenda e lista participantes fictícios para aumentar a pressão. O arquivo HTML anexo gera localmente uma página falsa do Microsoft Domain Services e, em seguida, solicita login e senha em um formulário que imita a GoDaddy.
Como se proteger
Especialistas recomendam desativar a criação automática de eventos:
Google Workspace
Imagem: Internet
- Acesse o Console de Administração;
- Vá em Aplicativos > Google Workspace > Calendário;
- Em Configurações Avançadas, localize “Adicionar convites ao meu calendário”;
- Altere para “Somente convites de remetentes conhecidos” ou “Convites respondidos por e-mail”.
Microsoft 365
- Abrir PowerShell como administrador;
- Conectar-se ao Exchange Online;
- Executar:
Set-CalendarProcessing -Identity [email] -AutomateProcessing None.
O comando pode ser aplicado individualmente ou em lote, impedindo que o “Assistente de Calendário” processe convites sem aprovação prévia.
Com informações de TecMundo
