Cibercriminosos estão usando uma técnica mais sofisticada para esconder links de phishing em mensagens falsas enviadas por e-mail. O ponto que mais preocupa especialistas é que os golpistas passaram a abusar de domínios confiáveis do Google para mascarar o caminho real do ataque e dificultar a análise feita por filtros automáticos de segurança.
Na prática, a vítima recebe um e-mail com aparência comum, muitas vezes simulando uma entrega, uma assinatura de documento, uma cobrança ou um aviso de senha. O link parece passar por serviços legítimos do Google, o que pode fazer com que sistemas de proteção tratem a mensagem como menos suspeita. O problema aparece depois do clique, quando a pessoa é levada por uma sequência de redirecionamentos até uma página controlada pelos criminosos.
Esse tipo de golpe mostra como a segurança da informação precisa ir além da simples checagem visual de links. Hoje, um endereço aparentemente confiável pode ser apenas uma etapa intermediária dentro de uma cadeia criada para enganar usuários e empresas.
Como os criminosos escondem links de phishing usando serviços conhecidos
A campanha observada utiliza uma sequência de redirecionamentos legítimos para esconder o destino final da ameaça. Em vez de colocar diretamente no e-mail o endereço malicioso, os criminosos criam uma rota com vários passos antes de levar a vítima até a página falsa.
Segundo a transcrição analisada, a técnica combina três serviços do ecossistema Google: Google Meet, Google Search Redirect e Google Ad Service. O fluxo passa por endereços como meet.google.com/linkredirect, segue para google.com/url e depois redireciona por adservice.google.com.ph antes de chegar ao site preparado pelos golpistas.
Por que isso engana filtros de e-mail
O grande risco desse método está na reputação dos domínios usados. Como os links intermediários pertencem ao ambiente do Google, gateways de segurança de e-mail podem interpretar a rota como confiável. Isso não significa que o Google esteja promovendo o golpe, mas sim que criminosos estão abusando de recursos legítimos de redirecionamento.
Em ataques comuns, os filtros conseguem identificar com mais facilidade domínios estranhos, recém-criados ou já marcados como perigosos. Mas, quando os links de phishing ficam escondidos atrás de domínios amplamente usados, a detecção pode ficar mais difícil.
A chamada matriz de entrega aninhada
Essa estrutura foi descrita como uma matriz de entrega aninhada porque o link malicioso não aparece de forma direta no primeiro contato com a vítima. Ele fica escondido em camadas. Cada etapa parece legítima isoladamente, mas o conjunto leva a um destino perigoso.
Esse formato cria um desafio para equipes de segurança da informação, principalmente em empresas que recebem grande volume de e-mails todos os dias. Um funcionário pode ver um link do Google, acreditar que se trata de algo seguro e clicar sem desconfiar.
Temas usados nos e-mails falsos
Os criminosos não dependem apenas da parte técnica. Eles também usam engenharia social para aumentar a chance de clique. As mensagens costumam apelar para urgência, rotina profissional ou medo de perder acesso a algum serviço importante.
Entre os temas citados estão atualizações de entrega da FedEx, solicitações de assinatura via DocuSign e AutoSign, avisos de expiração de senha do Microsoft 365, comprovantes de pagamento falsos e mensagens com QR Codes maliciosos.
Esses assuntos funcionam porque parecem fazer parte do dia a dia. Uma pessoa que trabalha com documentos, compras, pagamentos ou atendimento pode abrir a mensagem com pressa e clicar antes de conferir os detalhes.
O perigo dos QR Codes maliciosos
Os QR Codes também merecem atenção. Muitos filtros de e-mail analisam links escritos no corpo da mensagem, mas podem ter mais dificuldade para interpretar URLs escondidas dentro de uma imagem. Com isso, o criminoso tenta levar a vítima para fora do ambiente corporativo, muitas vezes usando o celular pessoal.
Quando o ataque mistura QR Code, urgência e domínio confiável, o risco aumenta. Por isso, empresas precisam treinar equipes para desconfiar de mensagens inesperadas, mesmo quando elas parecem vir de serviços conhecidos.
Links de phishing podem ir além do roubo de senha
Durante muito tempo, o phishing foi visto apenas como uma tentativa de roubar usuário e senha. Hoje, o cenário é mais perigoso. Algumas campanhas conseguem induzir a vítima a autorizar acessos, aprovar sessões ou vincular dispositivos controlados por criminosos.
Esse detalhe é importante porque pode afetar até ambientes que usam autenticação multifator. Em certos fluxos, o atacante não precisa apenas descobrir a senha. Ele tenta convencer a própria vítima a permitir o acesso, como se estivesse realizando uma ação legítima.
Quando a autenticação multifator não resolve tudo
A autenticação multifator continua sendo uma camada importante de proteção, mas ela não elimina todos os riscos. Se o usuário é enganado e aprova uma solicitação falsa, o criminoso pode avançar mesmo sem quebrar a tecnologia.
Por isso, a segurança da informação precisa combinar ferramentas, processos e treinamento. Não basta instalar filtros e esperar que todos os ataques sejam bloqueados. O comportamento humano continua sendo uma das principais portas de entrada.
Atenção ao clique e à autorização
O alerta principal é simples: não basta olhar apenas para o domínio inicial. É preciso observar o contexto da mensagem, o remetente, o tom de urgência, o tipo de solicitação e o caminho final do link. Se o e-mail pede login, assinatura, pagamento, atualização de senha ou leitura de QR Code, a verificação deve ser ainda mais cuidadosa.
Como empresas podem reduzir o risco
Empresas devem reforçar políticas internas para análise de mensagens suspeitas. Um bom ponto de partida é orientar funcionários a não clicar diretamente em links de e-mails inesperados. Quando houver dúvida, o ideal é acessar o serviço pelo navegador, digitando o endereço oficial manualmente.
Também é importante manter ferramentas de proteção atualizadas, revisar regras de gateways de e-mail e monitorar redirecionamentos em cadeias longas. Ataques que escondem links de phishing em serviços confiáveis exigem uma análise mais profunda do destino final, não apenas do primeiro link.
Treinamento precisa ser prático
Treinamentos de conscientização não devem ser genéricos. O usuário precisa ver exemplos reais de mensagens falsas, entender como os criminosos simulam marcas conhecidas e aprender a identificar sinais de pressão, urgência ou promessa fácil.
A segurança da informação funciona melhor quando a pessoa entende o risco no cotidiano. Um colaborador que sabe reconhecer uma falsa entrega, um falso DocuSign ou um falso aviso do Microsoft 365 tem mais chance de parar antes do clique.
O que usuários devem observar antes de clicar
Antes de abrir qualquer link, vale conferir se a mensagem era esperada. Um aviso de entrega faz sentido naquele momento? Existe algum documento aguardando assinatura? O remetente realmente pertence à empresa citada? O texto tem erros, pressão excessiva ou ameaça de bloqueio imediato?
Outro cuidado é evitar inserir senhas após clicar em links recebidos por e-mail. Se a mensagem fala sobre Microsoft 365, Google, banco, assinatura digital ou pagamento, o mais seguro é abrir o site oficial por conta própria.
Desconfie até de domínios conhecidos
O caso mostra que links de phishing podem usar nomes conhecidos no meio do caminho. Isso muda a forma como usuários precisam olhar para mensagens. Um link com aparência familiar não garante que o destino final seja seguro.
Em um cenário cada vez mais sofisticado, a segurança da informação depende de atenção constante. Criminosos não exploram apenas falhas técnicas. Eles exploram confiança, pressa e hábitos automáticos. É justamente por isso que cada clique precisa ser tratado com cuidado, principalmente quando envolve senha, acesso corporativo, pagamento ou autorização de dispositivo.
Alerta cresce com ataques mais difíceis de detectar
A nova técnica reforça uma tendência clara: golpes digitais estão ficando mais camuflados. Ao usar serviços legítimos como parte da rota, os criminosos tentam passar por camadas de defesa que antes barravam ataques mais simples.
Para empresas, o recado é direto. A proteção contra links de phishing precisa considerar o caminho completo do clique, e não apenas o primeiro endereço exibido. Para usuários, a regra também é clara: links recebidos por e-mail, mensagem ou QR Code devem ser tratados com desconfiança quando pedem login, confirmação de dados ou ação urgente.
O golpe pode começar com um domínio conhecido, mas terminar em uma página falsa preparada para roubar credenciais, sessões ou autorizações. Essa é a nova face do phishing: menos óbvia, mais técnica e muito dependente da confiança que as pessoas depositam em marcas famosas.
