Golpistas usam convites de calendário para burlar filtros de e-mail no Google Workspace e Microsoft 365

Criminosos vêm aproveitando a integração automática entre e-mail e agenda no Google Workspace e no Microsoft 365 para aplicar golpes de phishing que permanecem no calendário mesmo quando a mensagem original é bloqueada. A técnica, identificada pela empresa de segurança Sublime Security e batizada de phishing ICS, foi detalhada em 3 de novembro de 2025.

Como o golpe funciona

Quando um e-mail chega com um arquivo .ics — formato padrão de convites de calendário — os dois serviços corporativos criam o evento automaticamente, sem exigir ação do usuário. Caso o e-mail seja enviado para quarentena por um gateway de segurança, o compromisso já estará na agenda, completo com links, anexos e instruções adicionados pelos golpistas.

No Microsoft 365, o risco é maior: anexos do e-mail são copiados para o evento, contornando qualquer análise adicional de segurança.

Exemplos de ataques em circulação

1. Falsa teleconferência
Os invasores usam o serviço legítimo FreeConferenceCall.com para criar uma reunião verdadeira. No corpo do convite, porém, incluem o aviso “não utilize os dados acima” e fornecem um número telefônico controlado por eles. Mesmo se o e-mail for excluído, o evento continua no calendário com o telefone fraudulento.

2. PDF com QR Code bancário
Outra campanha envia apenas um convite e um PDF anexado. Ao ser adicionado ao Microsoft 365, o arquivo fica disponível no evento. O documento imita layout da DocuSign e contém um QR Code que leva a página de coleta de credenciais bancárias. O endereço é mascarado por link encurtado do TinyURL.

3. Alerta falso de domínio expirando
Neste caso, o e-mail diz que o domínio da empresa vence em 48 horas. O evento bloqueia a semana inteira do usuário com o título “INTERRUPÇÃO DE SERVIÇOS – DOMÍNIO EXPIRADO” e lista convidados fictícios, como “Suporte de TI”. Um arquivo HTML anexo gera localmente uma página falsa do Microsoft Domain Services e, depois, um formulário de login da GoDaddy, capturando e-mail e senha.

Configurações de proteção

No Google Workspace

Golpistas usam convites de calendário para burlar filtros de e-mail no Google Workspace e Microsoft 365 - Imagem do artigo original

Imagem: Internet

  • Acesse Console de Administração > Aplicativos > Google Workspace > Calendário;
  • Em “Adicionar convites ao meu calendário”, selecione “Somente convites de remetentes conhecidos” ou “Convites aos quais os usuários responderam por e-mail”.

No Microsoft 365

  • Abra o PowerShell como administrador;
  • Conecte-se ao Exchange Online;
  • Execute Set-CalendarProcessing -Identity [email] -AutomateProcessing None para desativar o processamento automático de convites.

Essas alterações impedem que eventos sejam inseridos sem confirmação, bloqueando o principal vetor explorado pelo phishing ICS.

03/11/2025 – 19h45 (atualizado às 20h27)

Com informações de TecMundo