您可能一直在留意电子邮件中可能存在的网络钓鱼邮件。您很清楚安全规则:如果您有任何疑问,请不要点击任何链接或下载附件。
这些都没错,但在实践中很难坚持。
现在,鉴于威胁情报公司卡巴斯基的新发现、以及网络钓鱼文本、网络钓鱼推文、和网络钓鱼弹出窗口 ……您还需要担心另一件事:日历中的网络钓鱼。
- 关于防止和实施攻击,延伸:《大型网络钓鱼攻击活动专门针对注重隐私的用户,成功绕过双因素身份验证》
- 《击败骗局 — 9个防御技巧》
- 《侦查和欺骗:这里是社交工程攻击必备的技术工具》
- 《对话是门技术活:擅长对话的攻击者能操纵你做任何事》
- 《谎言的极简心理学和如何保护自己》
- 《我是如何上当受骗的?》
- 更多详见“心理学和社交工程”类目
攻击者已经意识到,他们可以利用看似无害的日历设置,在受害者的日程安排上插入带有恶意钓鱼链接的events。
在许多情况下,这也会自动触发通知,进一步使恶意事件看起来合理合法。
该骗局特别有效,因为日历条目和通知来自谷歌日历等受信任的应用程序。
攻击来自于骗子向 Google 日历用户发送的一波日历活动邀请。
目标是利用默认设置 —— 日历将自动添加任何事件并发送有关它的通知。
卡巴斯基的研究人员主要观察攻击者通过简短的事件描述推送虚假的钓鱼链接,例如“你收到了现金奖励”或“你的名下有转账”等等。
当然,这个想法和传统的钓鱼攻击形式一样,吸引受害者点击然后将个人信息输入到恶意页面中。
“对于日历攻击,诈骗者使用的是准备好的电子邮件列表发送他们的欺诈性邀请,”卡巴斯基的安全研究员 Maria Vergelis 说,他一直在关注这种方法。
“他们还可以设置提醒次数,以便多次发送相同的消息,直到目标点击所需的链接或删除邀请为止。”
“这样的邀请会自动将通知添加到一个人的日历中。交付方式非常新,而且还在不断发展”。
攻击者可以使用相同的日历事件策略来推送所有不同类型的网络钓鱼链接,可能冒充活动计划或 RSVP 表单。
攻击者同样依赖 Google 服务的合法性来分发似乎是良性 Google Docs 链接的恶意链接。
网络钓鱼防御公司 Area 1 的首席执行官 Oren Falkowitz 说,关于日历攻击的特殊之处在于分发方法。
“因为使用日历太常见了,于是这种方法有可能向更多人发送恶意链接”。
如前文中提到的“延伸”阅读,那是基本防御方法,此外 Google 日历用户还可以通过应用程序本身保护自己免受不必要的邀请。
在桌面浏览器上打开 Google 日历的设置,然后转到“事件设置”>“自动添加邀请”,然后选择“不,仅显示我已回复的邀请”选项。
此外,在“查看选项”下,确保未选中“显示已拒绝的事件”。
“谷歌的服务条款和产品政策禁止在我们的服务上传播恶意内容,我们会尽力防止和主动解决滥用问题”,谷歌发言人称。
这只是免责声明,信任这些寡头是危险的;依旧建议您加强自我保护意识。
Area 1的 Falkowitz 指出,日历钓鱼攻击尤其有害,因为它们在如此受信任的背景中出乎意料地突然出现,“这正是人类最难避免的攻击类型”。⚪️
TRICKY SCAM PLANTS PHISHING LINKS IN YOUR GOOGLE CALENDAR