Criminosos exploram convites .ics para inserir golpes em calendários do Google Workspace e Microsoft 365

Criminosos encontraram uma forma de ultrapassar barreiras tradicionais de segurança de e-mail ao tirar proveito da integração automática entre mensagens e calendários corporativos. A estratégia, identificada pela empresa de cibersegurança Sublime Security, faz uso de arquivos .ics — padrão internacional de agendamento — para criar eventos no Google Workspace e no Microsoft 365 mesmo quando a mensagem original é bloqueada. Com isso, compromissos falsos repletos de links, anexos e instruções enganosas permanecem na agenda da vítima, prontos para serem acessados dias ou semanas depois.

Como a brecha se forma entre a caixa de e-mail e o calendário

Ambas as suítes de produtividade adotam, por padrão, o processamento automático de arquivos .ics recebidos por e-mail. Assim que um usuário recebe um convite, o sistema transforma o anexo em um evento visível na agenda, dispensando qualquer confirmação. Esse design visa facilitar o fluxo de trabalho, mas introduz um ponto cego: os gateways de segurança analisam e bloqueiam a mensagem, porém não conseguem remover, editar ou sinalizar o evento que já foi criado.

No Microsoft 365 a situação é ainda mais delicada, pois a plataforma transfere automaticamente anexos do e-mail para dentro do compromisso recém-gerado. Um PDF, um arquivo HTML ou qualquer outro objeto malicioso sai da quarentena e reaparece no calendário, sem passar por uma segunda verificação.

Phishing ICS: o que está por trás da nova técnica

O termo phishing ICS descreve justamente esse uso do “Internet Calendar Scheduling” para fins ilícitos. A lógica segue o modelo clássico de phishing — enganar o usuário para que execute uma ação —, mas o vetor muda. Em vez de depender unicamente da leitura do e-mail, o fraudador tem duas tentativas: a mensagem na caixa de entrada e o compromisso na agenda. Se a primeira falhar, a segunda continua de pé.

A descoberta acende o alerta porque muitas empresas investem pesado em filtros baseados em API, detecção de links suspeitos e isolamento de anexos. Entretanto, poucos administradores percebem que a sincronização entre e-mail e calendário vai além dos controles convencionais.

Exemplo 1: teleconferência falsa com instruções conflitantes

O primeiro golpe documentado usa um serviço legítimo de conferência virtual. O criminoso agenda uma reunião no FreeConferenceCall.com, que gera automaticamente um convite completo com número de telefone, código de acesso e link de videoconferência. Nada fora do normal.

No corpo do e-mail, porém, o invasor acrescenta um aviso: “Não utilize os dados gerados automaticamente; ligue para o número abaixo para participar”. O número informado é controlado por ele. Essa técnica de instruções conflitantes faz com que o cabeçalho reconhecido do serviço passe credibilidade, enquanto as orientações verdadeiras — e maliciosas — ficam escondidas no próprio convite.

Quando o arquivo .ics se materializa no calendário, o texto fraudulento acompanha o evento. Mesmo que o departamento de TI elimine a mensagem, o lembrete continua ativo. No dia e hora marcados, o usuário abre o compromisso, segue o passo a passo alternativo e liga diretamente para o golpista.

Exemplo 2: PDF com QR Code direciona a página de roubo de credenciais

O segundo caso recorre a um convite minimalista: nenhum texto explicativo, apenas o anexo de reunião e um PDF. Contando com a curiosidade do destinatário, o atacante confia que o arquivo será aberto assim que aparecer no calendário.

O PDF utiliza identidade visual da Docusign para simular um documento pendente de assinatura. Dentro dele há um código QR que solicita a leitura pelo celular. Ao escanear, a vítima é encaminhada a uma página de coleta de credenciais, frequentemente relacionada a banco, ao próprio Docusign ou ao Microsoft 365. A escolha do QR Code é estratégica: muitas ferramentas de segurança não analisam o conteúdo embutido na imagem, e o uso de um segundo dispositivo — o smartphone — contorna proteções instaladas no computador corporativo.

Nesta campanha, os criminosos ainda mascaram o destino final com um link encurtado do TinyURL, dificultando inspeções automatizadas.

Exemplo 3: kit HTML local simula expiração de domínio corporativo

O terceiro golpe eleva o nível de sofisticação. O e-mail traz apenas um alerta de confidencialidade genérico, um arquivo HTML em anexo e um assunto alarmante: “Seu domínio expira em 48 horas”. No calendário, em vez de um encontro pontual, o invasor bloqueia diversos dias com o título “INTERRUPÇÃO DE SERVIÇOS – DOMÍNIO EXPIRADO”, mantendo a mensagem visível por toda a semana.

A lista de participantes inclui nomes fictícios como “Administrador” e “Suporte de TI”, criando a sensação de que diferentes departamentos já estão tratando do suposto problema. O arquivo HTML, quando aberto, executa localmente uma página que imita o Microsoft Domain Services. Como todo o código roda no diretório temporário, não há acesso a endereços suspeitos que possam ser barrados por firewalls.

Após a tela inicial, o script direciona o usuário a um formulário falso da GoDaddy, requisitando e-mail corporativo e senha. Detalhes de implementação revelam práticas comuns em kits de phishing: variáveis ofuscadas, delays artificiais para frustrar sandboxes e redirecionamentos em cadeia.

Impacto para organizações e usuários

A principal consequência do phishing ICS é a ampliação da área de ataque. Mesmo empresas que aplicam políticas rígidas de filtragem de e-mail se veem vulneráveis, pois o calendário opera sob parâmetros diferentes. Basta um descuido — clicar em um link, abrir um PDF ou telefonar para um número — para que o golpe se concretize.

Além de permitir a coleta de credenciais, a técnica pode desencadear transferência de fundos, instalação de malware a partir de anexos não verificados ou vazamento de informações sensíveis. O problema se agrava porque convites de calendário, em geral, recebem menor escrutínio dos usuários: costumam ser abertos sem a mesma cautela dedicada a mensagens de e-mail.

Configurações recomendadas para mitigar a ameaça

Embora a vulnerabilidade decorra de um recurso legítimo, administradores podem ajustar as plataformas para reduzir o risco.

Google Workspace – ajuste direto no Console de Administração

1. Acesse Aplicativos  →  Google Workspace  →  Calendário.
2. Clique em Configurações Avançadas.
3. Localize “Adicionar convites ao meu calendário”.
4. Selecione “Somente convites de remetentes conhecidos” ou “Convites aos quais os usuários responderam por e-mail”.

Com essa alteração, apenas contatos previamente reconhecidos ou convites respondidos manualmente entram automaticamente na agenda. Qualquer outro convite exigirá confirmação explícita.

Microsoft 365 – desativação via PowerShell

1. Abra o PowerShell como administrador.
2. Conecte-se ao Exchange Online.
3. Execute:
Set-CalendarProcessing -Identity [email] -AutomateProcessing None

O comando desativa o Assistente de Processamento Automático de Convites. A medida pode ser aplicada usuário a usuário ou em lote, segundo a política interna da organização.

Próximos passos para equipes de segurança

O surgimento do phishing ICS sublinha a necessidade de revisar políticas que transcendam a caixa de entrada. Equipes de TI devem mapear fluxos entre serviços integrados, como e-mail, calendário e armazenamento em nuvem, a fim de identificar pontos onde um conteúdo bloqueado possa ressurgir em outra aplicação.

Treinamentos de conscientização também precisam incluir cenários de convites suspeitos. Funcionários têm de ser instruídos a verificar detalhes de números de telefone, arquivos anexos e instruções adicionais presentes em eventos adicionados automaticamente.

Por fim, logs de calendário devem entrar na rotina de monitoramento. Detectar padrões incomuns — convites massivos vindos de remetentes desconhecidos, anexos executáveis ou bloqueios de agenda com títulos alarmantes — pode sinalizar campanhas em andamento.