Phishing automatizado usando Google Cloud: por que o Brasil foi o segundo país mais afetado
Em dezembro de 2025, pesquisadores de segurança descobriram uma campanha sofisticada de phishing que usou a automação do Google para contornar mecanismos tradicionais de defesa e enganar usuários em todo o mundo. Uma análise feita pela Check Point Harmony Email Security revelou que, em um período de apenas duas semanas, mais de 9.300 e-mails fraudulentos foram enviados a quase 3.200 vítimas, com o Brasil se posicionando como o segundo país mais afetado, representando aproximadamente 41% dos alvos, atrás apenas dos Estados Unidos.
A campanha chamou a atenção não apenas pelo seu alcance, mas pela forma como os cibercriminosos abusaram de serviços legítimos do Google para impulsionar seus ataques — um sinal claro de que as técnicas de phishing estão evoluindo para usar ferramentas corporativas como vetores de ataque. Este artigo explora como esse ataque funcionou, os riscos inerentes, por que sistemas automatizados podem agravar a eficácia dos golpes e o que organizações e usuários podem fazer para se proteger.
1. O ataque e sua estrutura técnica
1.1 Uso indevido do Google Cloud Application Integration
O elemento que tornou essa campanha especialmente perigosa foi o uso do Google Cloud Application Integration, uma ferramenta legítima de automação de fluxo de trabalho usada por empresas para tarefas como envio automático de notificações e alertas. Os atacantes descobriram uma forma de mal utilizar esse recurso para enviar e-mails de phishing que vinham diretamente de um domínio confiável: [email protected]. Esse domínio legítimo permitiu que as mensagens passassem por filtros de spam e chegassem diretamente às caixas de entrada dos usuários sem muitos bloqueios.
1.2 Engenharia social e contextualização dos e-mails
Os golpistas elaboraram e-mails que se assemelhavam a notificações comuns de escritório, como alertas de mensagens de voz ou solicitações para visualizar um documento. O fato de aqueles e-mails partirem de um remetente com endereço legítimo do Google aumentou a confiança dos destinatários e reduziu as chances de suspeita imediata. Muitos usuários clicaram nos links incluídos nas mensagens, acreditando tratar-se de comunicações oficiais.
O fluxo de ataque era composto por três etapas principais:
-
O usuário clicava em um link no e-mail, o que o levava a uma página real hospedada em storage.cloud.google.com;
-
Ele era redirecionado para um teste CAPTCHA falso na plataforma googleusercontent.com, usado para bloquear mecanismos automatizados de segurança;
-
Por fim, a vítima era levada a uma página de login falsa da Microsoft, onde suas credenciais eram capturadas pelos criminosos.
2. Por que o Brasil foi um dos países mais afetados
2.1 Contexto de ameaça no Brasil
O Brasil vem se destacando como um dos países mais visados por ataques cibernéticos nos últimos anos. De acordo com relatórios de segurança, o país é frequentemente classificado entre os principais alvos de malware, phishing e ataques direcionados, perdendo apenas para poucas outras regiões como a Índia ou os Estados Unidos.
Diversos fatores contribuem para esse perfil:
-
Adesão crescente de empresas às tecnologias digitais, ampliando a superfície de ataque;
-
Uso intensivo de serviços em nuvem e plataformas corporativas, que podem ser abusados por agentes de ameaça;
-
Desafios na conscientização do usuário final sobre práticas de segurança, o que facilita a eficácia de golpes de engenharia social;
-
Alta taxa de acesso a e-mails e plataformas corporativas sem filtros robustos de segurança adicionais — em empresas de manufatura, tecnologia, finanças e outros setores fortemente visados.
Dados coletados pela TransUnion indicam que phishing e outras fraudes têm impacto financeiro direto sobre usuários brasileiros, com perdas medianas que podem passar de vários salários mínimos por vítimas individuais, ressaltando a necessidade de prevenção e educação contínua.
3. O papel das ferramentas em nuvem no cenário de phishing
3.1 Benefícios e riscos da automação legítima
Ferramentas como Google Cloud Application Integration são projetadas para ajudar empresas a automatizar fluxos de trabalho e melhorar eficiência — por exemplo, enviando notificações de eventos ou integrando aplicações diferentes. No entanto, qualquer sistema que permita envio de e-mails automáticos sem controles rígidos pode ser abusado se não houver verificações de segurança quanto à origem das requisições e aos padrões de uso.
3.2 Exploração de domínios legítimos como método de evasão
Ao enviar e-mails usando um endereço associado a um recurso confiável do Google, os atacantes conseguiram contornar filtros de spam tradicionais, que frequentemente bloqueiam mensagens de domínios suspeitos ou desconhecidos. Usuários e sistemas de triagem tendem a confiar mais em remetentes legítimos, o que facilitou a entrega bem-sucedida de mensagens fraudulentas.
Essa técnica, conhecida como abuso de serviço legítimo (LSA – Legitimate Service Abuse), está se tornando mais comum em campanhas de phishing, conforme criminosos visam reduzir a detecção e aumentar a taxa de cliques e sucesso das ações maliciosas.
4. Riscos e impactos de campanhas de phishing sofisticadas
4.1 Roubo de credenciais e acesso não autorizado
Quando uma vítima insere suas credenciais em uma página de login falsa, essas informações podem ser usadas para comprometer não apenas contas profissionais, mas também serviços financeiros, serviços em nuvem e aplicações internas da organização — ampliando o impacto de uma única ação de phishing.
4.2 Aumento de campanhas híbridas
Golpes de phishing frequentemente são combinados com outros vetores de ataque, como vishing (phishing por voz), smishing (phishing por SMS) e até ataques de malware que se aproveitam de credenciais roubadas para implantar backdoors em sistemas críticos.
4.3 Perda de confiança e custo organizacional
Além dos impactos técnicos imediatos, um ataque bem-sucedido de phishing pode gerar prejuízos financeiros diretos, danos à reputação da empresa e custos adicionais com resposta a incidentes, auditorias de segurança e conformidade com legislações como a LGPD (Lei Geral de Proteção de Dados).
5. Boas práticas para prevenção e proteção avançada
Diante da sofisticação de campanhas como essa, que usam serviços legítimos para impulsionar ataques, as organizações devem adotar uma abordagem de defesa em profundidade:
5.1 Autenticação multifator (MFA)
Implementar MFA para todos os acessos críticos — especialmente para e-mail corporativo, serviços de nuvem e sistemas de gestão — reduz drasticamente o risco de comprometimento mesmo se as credenciais forem capturadas via phishing.
5.2 Soluções de e-mail com análise comportamental
Ferramentas de segurança que usam análise comportamental e aprendizado de máquina podem detectar padrões anômalos mesmo em mensagens enviadas de domínios legítimos, identificando tentativas de phishing que evadem filtros tradicionais.
5.3 Treinamento contínuo de usuários
Educar funcionários e usuários finais sobre sinais de phishing — incluindo verificações manuais de URL, checagem de remetentes e identificação de páginas de login falsas — é fundamental para reduzir a vulnerabilidade humana, que continua sendo um dos principais vetores de ataque.
5.4 Monitoramento e resposta a incidentes
Organizações devem manter processos ativos de monitoramento em tempo real, Threat Intelligence e equipes de resposta (SOC) preparadas para identificar e mitigar rapidamente campanhas em escalada.
Conclusão
A campanha de phishing que usou automação do Google para enviar e-mails fraudulentos mostra como agentes maliciosos estão se adaptando a um cenário de segurança digital em rápida evolução. Aproveitando serviços legítimos e domínios confiáveis, esses ataques contornam defesas tradicionais e aumentam drasticamente a eficácia dos golpes — com o Brasil emergindo como um dos países mais afetados globalmente, atrás apenas dos Estados Unidos. (
Esse tipo de ataque ilustra a urgência de unir tecnologia defensiva, conscientização do usuário e práticas robustas de autenticação para mitigar os riscos. Em um ambiente onde ferramentas corporativas legítimas podem ser mal utilizadas, a defesa deve ser adaptativa, baseada em inteligência de ameaças e focada tanto na proteção técnica quanto no fortalecimento da postura humana diante de tentativas cada vez mais sofisticadas de engenharia social.
Referência Bibliográfica
-
Brasil é segundo país mais afetado por campanha de phishing usando automação do Google — TecMundo. Disponível em: https://www.tecmundo.com.br/seguranca/409588-brasil-e-segundo-pais-mais-afetado-por-campanha-de-phishing-usando-automacao-do-google.htm
