O Google Forms, ferramenta de criação de formulários e questionários lançada pelo Google em 2008, é usada em quase 50% das pesquisas realizadas on-line, de acordo com alguns levantamentos.
No entanto, seu uso amplamente difundido também atrai criminosos. Especialistas em explorar tecnologias populares, esses cibercriminosos já estão utilizando o Google Forms para coletar informações confidenciais de suas vítimas e até mesmo induzi-las a instalar malware.
Por que optaram pelo Google Forms?
O Google Forms representa uma grande oportunidade para legitimar golpes e burlar filtros de segurança digital. Os cibercriminosos preferem essa ferramenta porque:
- É gratuita, o que permite que criminosos lancem campanhas em larga escala com um potencial retorno financeiro elevado;
- Conta com a confiança dos usuários, o que aumenta as chances de que as vítimas acreditem que o formulário do Google ao qual foram direcionadas é legítimo.
- É um serviço legítimo, o que significa que formulários maliciosos do Google e links para esses formulários muitas vezes não são detectados por ferramentas tradicionais de segurança de e-mail;
- É fácil de usar, o que é positivo para os usuários, mas também prático para cibercriminosos, que conseguem lançar campanhas de phishing convincentes com pouco esforço ou conhecimento prévio da ferramenta;
- Suas comunicações são criptografadas com TLS (Transport Layer Security), o que pode dificultar a inspeção por ferramentas de segurança digital. Além disso, costuma utilizar URLs dinâmicas, o que pode dificultar a detecção de formulários maliciosos por alguns filtros de e-mail.
Como são os ataques via Google Forms?
A maioria dos ataques realizados por meio do Google Forms tem como objetivo enganar os usuários e levá-los a entregar informações pessoais e financeiras. Embora existam variações sutis na abordagem, estas são algumas das principais técnicas que merecem atenção:
Formulários relacionados ao phishing
Formulários maliciosos criados no Google Forms são elaborados para se fazer passar por marcas legítimas, como páginas de login de redes sociais, bancos, universidades e até plataformas de pagamento. Como já mencionado, essa estratégia é mais rápida, fácil e barata do que criar um site de phishing dedicado - além de ser menos provável que seja bloqueada pelos filtros de segurança digital.
Normalmente, você receberá um link para um desses formulários maliciosos do Google por meio de um e-mail de phishing, que pode ter sido falsificado para se passar por uma marca ou remetente legítimo. O e-mail pode inclusive partir de uma conta legítima que foi comprometida. Em qualquer caso, o objetivo final geralmente é:
- Coletar suas credenciais de acesso, que podem ser usadas para invadir contas e cometer fraudes de identidade;
- Roubar dados do seu cartão, informações bancárias ou de carteiras de criptomoedas para tomar controle das contas e esvaziá-las ou cometer fraudes em pagamentos;
- Convencê-lo a clicar em um link do formulário malicioso que redireciona para um site que instala malware de forma encoberta.

Os cibercriminosos podem enviar um formulário malicioso criado no Google Forms com o objetivo de induzi-lo a ligar para um número de telefone exibido no próprio documento. O formulário costuma imitar a identidade visual de um banco ou outro serviço confiável, transmitindo uma falsa sensação de legitimidade. Para aumentar a pressão, o conteúdo geralmente traz um tom de urgência, com mensagens alarmantes como "sua conta será bloqueada" ou "foi detectada uma retirada de dinheiro", incentivando uma reação impulsiva - como fazer a ligação sem refletir.
Ao ligar, você será atendido por um integrante de um esquema de vishing (fraude por voz), que usará técnicas de engenharia social para obter seus dados pessoais e financeiros. Em alguns casos, o golpista pode ainda instruí-lo a instalar um programa de acesso remoto, permitindo que eles assumam o controle total do seu dispositivo.
Quiz
Os cibercriminosos podem se aproveitar da função de questionário do Google Forms, criando um formulário de perguntas e respostas para te fazer participar de um suposto concurso. Ao finalizar o quiz, você vai querer ver os resultados, e é aí que você verá um botão que, ao clicar, vai gerar uma mensagem que pode conter links para sites de phishing, malware ou golpes.
Algumas campanhas destacadas
Como exemplo de campanhas que foram vistas nos últimos anos, podemos destacar:
BazarCall
Uma ameaça do tipo vishing em que as vítimas recebiam um e-mail contendo um formulário do Google malicioso, se passando por PayPal, Netflix ou alguma outra grande marca. O formulário continha detalhes de uma cobrança falsa que estava prestes a ser aplicada, a menos que o destinatário ligasse para o número de telefone fornecido.
Phishing direcionado a universidades dos Estados Unidos
O Google detectou no ano passado um aumento nos ataques contra o setor educacional dos Estados Unidos. As vítimas receberam e-mails de phishing que continham um link para um formulário do Google malicioso, ambos projetados para parecer enviados pela universidade, com logotipos e referências ao nome da instituição. O objetivo final era obter dados de acesso ou financeiros.
Como se manter alerta
A conscientização é a base para mitigar o impacto de ameaças de engenharia social como esta. Se você prestar atenção à forma como tentam te enganar, será mais difícil tomar decisões erradas. Por exemplo, você pode considerar o seguinte:
- Utilize software de segurança multicamadas de um fornecedor confiável em todos os computadores e dispositivos móveis. Isso ajudará a garantir que, mesmo se você clicar em um link malicioso, o download de malware seja bloqueado. Um bom software também detectará padrões suspeitos, mesmo que o próprio formulário do Google pareça legítimo, além de escanear seu computador ou dispositivo periodicamente e manter você protegido de qualquer ameaça maliciosa;
- Fique atento a possíveis golpes de phishing. Não confie em nada não solicitado que te peça para clicar em um link ou ligar urgentemente para um número. Em vez disso, entre em contato com o remetente pelos canais oficiais;
- Utilize senhas fortes e únicas para cada conta, armazene-as em um gerenciador de senhas para lembrá-las facilmente. E opte por ativar a autenticação multifatorial (MFA) para todas as contas, assim, mesmo que sua senha seja vazada ou obtida, não poderão acessar sua conta. O ideal é usar uma chave de segurança baseada em hardware ou um aplicativo de autenticação;
- Preste atenção: o Google sempre exibe um aviso nos formulários do Google: "Nunca envie senhas através dos formulários do Google". Siga essa dica.
Se o pior acontecer e você achar que foi vítima de um ataque ao Google Forms, altere suas senhas, faça uma varredura de malware e peça ao seu banco para congelar os cartões (se você enviou os dados do cartão). Ative a MFA em todas as contas, se ainda não o fez, e monitore suas contas para detectar qualquer atividade suspeita.
Ao ler este artigo, você estará em uma boa posição para se defender da ameaça dos formulários maliciosos do Google. Seja cético em relação a qualquer e-mail não solicitado que receber, mesmo que venha de uma marca confiável.