Alerta sobre Task Scam: Nova onda de fraudes explora notificações do Google Tasks contra credenciais corporativas

Uma nova campanha de phishing sofisticada foi identificada recentemente explorando o serviço Google Tasks, ferramenta amplamente confiável nas corporações. Neste task scam, criminosos cibernéticos sequestram as notificações legítimas dessa plataforma para enganar funcionários a revelarem suas credenciais de acesso, um golpe que coloca em risco sistemas internos das empresas. A Kaspersky, líder global em cibersegurança, descobriu essa fraude que abusa do domínio oficializado @google.com para burlar filtros de segurança tradicionais.

Como o Task Scam funciona: Explorando a confiança em ferramentas legítimas

O task scam segue uma estrutura clara e calculada. Os atacantes disparam notificações que parecem originadas do Google Tasks, com a mensagem “Você tem uma nova tarefa” no campo de assunto. O conteúdo criado é enganosamente realista, simulando que a organização da vítima adotou o sistema de gerenciamento de tarefas do Google como ferramenta corporativa oficial.

Para aumentar a sensação de urgência, os criminosos incluem marcadores de alta prioridade e prazos apertados nas notificações, pressão psicológica que reduz o pensamento crítico do funcionário. Quando o usuário clica no link inserido nessa mensagem fraudulenta, é direcionado para uma página falsa disfarçada como formulário de “verificação de funcionário”.

Esse formulário fake solicita que o usuário preencha seus dados de login corporativos sob o pretexto de confirmar seu status na empresa. Uma vez capturadas, essas credenciais se tornam porta de entrada para acesso não autorizado a servidores, roubo de dados sensíveis e possíveis ataques encadeados contra a infraestrutura corporativa.

Engenharia social na era do Task Scam: Por que os funcionários caem nas armadilhas

O sucesso do task scam reside em sua exploração inteligente da engenharia social. Diferentemente de phishing comum, esse golpe aproveita a familiaridade absoluta dos usuários com o ecossistema Google. Como muitos colaboradores já utilizam Gmail, Google Drive e outras ferramentas da gigante tecnológica, o impulso natural é confiar em notificações que chegam do domínio @google.com.

A Kaspersky observa que como essas notificações originam-se de domínios legítimos, elas naturalmente ultrapassam muitos dos filtros de spam e detecção de phishing convencionais. O criminoso complementa essa tática ao inserir elementos que parecem pertencer a processos internos da empresa – linguagem corporativa específica, formatos conhecidos, até mesmo alusões a políticas internas – reduzindo drasticamente a desconfiança da vítima.

Roman Dedenok, especialista em anti-spam da Kaspersky, comenta: “A engenharia social por trás do task scam aproveita a velocidade das corporações modernas e a confiança em serviços cloud estabelecidos. Fazer parecer um processo interno da empresa é particularmente eficaz porque suprime o senso crítico dos funcionários naquele momento.”

Proteção contra Task Scam: Estratégias essenciais de segurança corporativa

Diante dessa ameaça em evolução, as organizações devem implementar camadas múltiplas de defesa. Primeiramente, todo convite ou notificação não solicitada merece ser tratado com extrema suspeita, independentemente da aparência de origem legítima. Os colaboradores devem verificar meticulosamente os URLs antes de clicar, evitando assim redirecionamentos para páginas fraudulentas.

Uma prática importante é nunca chamar números de telefone fornecidos em emails suspeitos; se for necessário entrar em contato com um serviço, o ideal é procurar o número oficialmente listado no site da empresa. Toda atividade suspeita deve ser reportada ao departamento de TI e ao provedor da plataforma imediatamente.

No nível corporativo, a autenticação multifator (MFA) em todas as contas representa um escudo valioso, tornando significativamente mais difícil para criminosos explorarem credenciais capturadas. As políticas de segurança devem ser atualizadas regularmente para refletir essas novas táticas.

Soluções especializadas contra o Task Scam

Para proteger usuários corporativos, a Kaspersky disponibiliza soluções como Kaspersky Security for Mail Server, que implementa mecanismos de defesa em múltiplas camadas alimentados por algoritmos de aprendizado de máquina. Esses sistemas conseguem detectar padrões de comportamento suspeito e phishing mesmo quando os ataques conseguem contornar filtros tradicionais.

Para usuários individuais, Kaspersky Premium oferece recursos de anti-phishing baseados em inteligência artificial, projetados especificamente para ajudar a evitar ataques como o task scam e fortalecer a cibersegurança geral.

O contexto mais amplo revela que criminosos continuam a explorar plataformas legítimas como veículos para fraudes. O task scam é apenas um exemplo da tendência que intensifica em 2026, onde cibercriminosos reciclam e adaptam suas táticas para abusar dos ecossistemas confiáveis que bilhões de pessoas utilizam diariamente.