Pesquisadores de segurança da empresa Push Security identificaram uma nova onda de ataques que utiliza convites fraudulentos por meio do gerenciador de calendário Calendly como isca. A estratégia é direcionada, com uso de ferramentas de inteligência artificial, e foca em roubar credenciais de contas corporativas como Google Workspace ou de empresas que gerenciam anúncios no Facebook Business.
Assim, os criminosos conseguem obter uma plataforma para lançamento de malvertising, enviando malware e outras fraudes, além de tentar vender as contas comprometidas para outros hackers.
Leia mais:
- BC Protege+: quase 300 aberturas de contas já foram barradas
- Inmetro inaugura Delegacia Cibernética para combater golpes na Black Friday 2025
- Deepfakes impulsionadas por IA disparam 1.740% e tornam golpes praticamente imperceptíveis
Como o golpe funciona
(Imagem: tete_escape/Shutterstock)
O criminoso envia um e-mail de “convite para reunião”, um phishing criado com Inteligência artificial capaz de imitar mais de 75 marcas, como a Disney e MasterCard, por exemplo. Ele finge ser um recrutador ou funcionário de uma empresa conhecida, com nomes de funcionários legítimos, personificados, um método chamado de spoofing.
Ao clicar no link, a possível vítima é redirecionada a uma página falsa que simula o Calendly: há até um CAPTCHA para dar aparência de legitimidade. Depois, vem uma página de phishing do tipo “adversary-in-the-middle” (AiTM), projetada especificamente para capturar dados de login do Google Workspace.
O golpe é cuidadosamente planejado: há várias URLs diferentes envolvidas (ao menos 31 variantes foram identificadas).
Além disso, algumas versões do golpe usam técnicas avançadas de disfarce chamadas “browser-in-the-browser” (BiTB), criando janelas falsas que parecem páginas legítimas, o que dificulta a detecção do engano.
As páginas também contam com mecanismos antianálise, como bloqueio de VPN/proxy e ferramentas de inspeção, o que dificulta a análise por especialistas ou recursos de segurança.
(Imagem: @vecstock/Freepik)
Como se proteger
Para mitigar o risco desse tipo de golpe, especialistas em segurança digital recomendam:
- Não clicar em convites de reunião inesperados, especialmente se vierem por e-mail e com links — mesmo que o nome da empresa pareça confiável;
- Desabilitar a aceitação automática de convites de calendário, de modo que reuniões só sejam confirmadas manualmente, após checagem;
- Utilizar ferramentas de segurança — como antivírus com proteção web e sistemas anti-phishing — e manter todos os softwares atualizados.
O post Novo golpe usa convites falsos no Calendly para aplicar phishing sofisticado apareceu primeiro em Olhar Digital.