• Spoofing del calendario di Google: Come gli aggressori lo usano per le truffe di phishing

Spoofing del calendario di Google: Come gli aggressori lo usano per le truffe di phishing

Blog

Lo spoofing di Google Calendar è l'ultima tattica di phishing che inganna gli utenti con falsi inviti. Scoprite come funziona e come proteggervi da queste truffe.

di Milena Baghdasaryan

Tempo di lettura: 8 min
Spoofing del calendario di Google: Come gli aggressori lo usano per le truffe di phishing
Indice dei contenuti-

Negli ultimi mesi, gli esperti di cybersicurezza sono diventati sempre più preoccupati per un'insidiosa forma di truffa di phishing: lo spoofing di Google Calendar. In questo attacco complesso e sofisticato, gli aggressori inviano inviti a riunioni dall'aspetto legittimo ma falsi che reindirizzano gli invitati a siti web di phishing. Questi siti sembrano molto simili alla piattaforma ufficiale di Google, il che rende questi attacchi ancora più pericolosi e spinge gli utenti a inserire informazioni sensibili o a cliccare su link dannosi.

I ricercatori di Check Point hanno recentemente scoperto un caso di spoofing di Google Calendar in cui gli hacker hanno preso di mira 300 organizzazioni con oltre 4.000 inviti al calendario contraffatti in sole quattro settimane. Una portata così ampia dimostra quanto possa essere pericoloso lo spoofing di Google Calendar e rende indispensabile individuare e prevenire questi attacchi.

I punti chiave da prendere in considerazione

  • I criminali informatici sfruttano le funzionalità di Google Calendar per inviare e-mail di phishing che appaiono come inviti legittimi.
  • Google Calendar ha oltre 500 milioni di utentiIl che rende questa piattaforma un bersaglio vulnerabile, il cui sfruttamento può mettere in pericolo milioni di utenti di tutto il mondo.
  • Gli hacker utilizzano strumenti integrati come Google Forms e Google Drawings, il che rende questi attacchi ancora più pericolosi. 
  • In sole quattro settimane, sono state individuate più di 4.000 e-mail di phishing nell'ambito di una campagna di spoofing di Google Calendar, che ha colpito ben 300 marchi.
  • Le principali misure di sicurezza includono l'abilitazione di "Mittenti conosciuti", l'evitamento di inviti sospetti e il rafforzamento della sicurezza delle e-mail.

Come funziona lo spoofing del calendario di Google

Di seguito sono riportate alcune fasi comuni di un tentativo riuscito di spoofing di Google Calendar: 

Sfruttare le funzioni di invito al calendario

Spoofing del calendario di Google

Gli aggressori sfruttano le caratteristiche di facile utilizzo di Google Calendar per inviare e-mail di phishing che sembrano inviti a riunioni legittimi. Nella fase iniziale, gli hacker hanno sfruttato le caratteristiche intrinseche di Google Calendar e hanno incluso link che indirizzavano a Google Forms. Tuttavia, l'attacco è diventato ancora più complesso e pericoloso con il passare del tempo, quando gli aggressori si sono resi conto che i filtri di sicurezza e i gateway erano in grado di segnalare gli inviti dannosi di Calendar. 

Attualmente, l'attacco si è evoluto per allinearsi alle funzionalità di Google Drawings. Spesso, i collegamenti a Google Form, Google Drawings o agli allegati di file ICS contengono un CAPTCHA o un pulsante di supporto.

Il difetto di default di Google Calendar

Per impostazione predefinita, Google aggiunge automaticamente inviti di calendario al calendario di un utente, anche se l'invito non è stato richiesto. Gli aggressori ne approfittano per inserire link dannosi nei calendari degli utenti senza richiedere un'interazione via e-mail.

Intestazioni e-mail manipolate e spoofing del mittente

I ricercatori hanno scoperto che i criminali informatici possono aggirare i filtri antispam inviando inviti di phishing attraverso Google Calendar, perché le e-mail sembrano provenire da un servizio legittimo di Google. Poiché gli aggressori utilizzano Google Calendar, le intestazioni delle e-mail sembrano reali e non possono essere distinte dagli inviti autentici al calendario. I ricercatori hanno condiviso un'istantanea di queste intestazioni, mostrando che le e-mail di phishing sono arrivate alle caselle di posta elettronica perché hanno superato i controlli di sicurezza DKIM, SPF e DMARC.

Gli aggressori possono anche annullare l'evento di calendario e aggiungere una nota, che viene inviata via e-mail ai partecipanti, raddoppiando di fatto il numero di e-mail di phishing inviate. Il messaggio può includere un link, come quello a Google Drawings, per indurre le vittime a visitare i siti di phishing.

Le e-mail di phishing di Google Calendar includono un file di calendario (.ics) con un link a Google Forms o Google Drawings. Non appena il destinatario clicca sul primo link, gli viene chiesto di cliccarne un altro dannoso, che spesso si presenta sotto forma di reCAPTCHA o di pulsante di supporto.

Queste tattiche sono piuttosto comuni nelle e-mail di phishingche hanno lo scopo di indurre i destinatari a rivelare informazioni sensibili o a eseguire azioni a vantaggio del criminale informatico. Riconoscere queste caratteristiche comuni delle e-mail di phishing può aiutarvi a rimanere protetti online e a non cadere vittime di questi schemi.

Pagine di supporto false e truffe di criptovalute

Dopo aver cliccato sul link dannoso, le vittime vengono reindirizzate a siti web fraudolenti, progettati per rubare informazioni personali o dati aziendali. Queste pagine spesso imitano pagine di destinazione per l'estrazione di criptovalute, siti di supporto per Bitcoin o processi di autenticazione fasulli con l'obiettivo di raccogliere dati sensibili e informazioni di pagamento.

Perché Google Calendar è un bersaglio per i truffatori

Google Calendar è una delle piattaforme più utilizzate al mondo; oltre 500 milioni di utenti di tutto il mondo la utilizzano per programmare le proprie riunioni e gestire il proprio tempo. Fa parte di Google Workspace ed è disponibile in 41 lingue.

Gli inviti al calendario sono spesso ritenuti più affidabili delle normali e-mail di phishing, poiché gli utenti sono abituati a riceverli e a interagire con essi regolarmente. Anche questo contribuisce al successo e all'efficacia degli attacchi di spoofing di Google Calendar. 

L'impatto delle truffe di phishing su Google Calendar

Google Calendar Le truffe di phishing possono causare gravi perdite finanziarie e violazioni dei dati sia per i singoli che per le organizzazioni. Quando gli aggressori rubano informazioni personali e finanziarie, possono usarle per frodi con le carte di credito, transazioni non autorizzate o per aggirare le misure di sicurezza di altri account.

Il recente attacco ha colpito circa 300 marchi di un'ampia gamma di settori, tra cui istituzioni scolastiche, servizi sanitari, imprese edili e banche.

Per mitigare i rischi associati a questi attacchi, le organizzazioni dovrebbero implementare protezione contro lo spoofing dei domini di protezione contro lo spoofing del dominio. Queste possono aiutare a prevenire l'uso non autorizzato del nome di dominio di un'azienda nei tentativi di phishing e in altre attività fraudolente.

L'ultimo attacco: 300 organizzazioni prese di mira con lo spoofing di Google Calendar

I ricercatori di Check Point hanno identificato una complessa campagna di phishing che ha inviato oltre 4.000 inviti al calendario contraffatti a 300 organizzazioni in sole quattro settimane. Gli aggressori hanno manipolato le intestazioni delle e-mail per far apparire gli inviti legittimi, come se fossero stati inviati da Google Calendar per conto di persone conosciute, fidate e legittime.

La motivazione principale degli aggressori era il guadagno economico, in quanto miravano a indurre gli utenti a fornire informazioni sensibili o ad accedere a dati aziendali. Queste informazioni avrebbero poi aiutato i criminali informatici a compiere frodi con le carte di credito, transazioni non autorizzate e ad aggirare le misure di sicurezza su altri account.

L'attacco di solito inizia con un file di calendario (.ics) o con link a false pagine di supporto incorporati nelle e-mail di phishing. Gli utenti venivano quindi invitati a completare le fasi di autenticazione, a inserire informazioni personali e a fornire dettagli di pagamento su pagine di destinazione fraudolente, spesso camuffate da siti di supporto per l'estrazione di criptovalute o Bitcoin.

La risposta di Google e le misure di sicurezza

Abilitare l'impostazione "Mittenti conosciuti

Un passo utile per prevenire lo spoofing di Google Calendar è quello di utilizzare l'impostazione "Mittenti conosciuti" in Google Calendar. In effetti, Google stessa raccomanda di utilizzare questa funzione in risposta ai diffusi schemi di spoofing di Google Calendar. Come dichiarato da un portavoce di Google, l'attivazione dell'impostazione "Solo se il mittente è noto" in Google Calendar "aiuta a difendersi da questo tipo di phishing, avvisando l'utente quando riceve un invito da una persona non presente nel suo elenco di contatti e/o con cui non ha interagito in passato tramite il suo indirizzo e-mail".

Pratiche di sicurezza generali suggerite da Google

Oltre all'utilizzo dell'impostazione specifica "Mittenti conosciuti", Google offre anche alcuni suggerimenti generali per pratiche di sicurezza online migliori e più efficaci. Ad esempio, gli utenti possono provare a: 

  • Rivedere e regolare di tanto in tanto le impostazioni del calendario.
  • Siate cauti nei confronti di inviti inaspettati, in particolare quelli che richiedono di compiere un'azione sospetta. Capire come identificare gli avvisi di sicurezza avvisi di sicurezza di Google può aiutare a proteggersi da sofisticati tentativi di phishing.
  • Verificare l'indirizzo e-mail del mittente prima di accettare gli inviti.

I consigli degli esperti per proteggersi dal phishing del calendario

Siate cauti con gli inviti agli eventi

Dovete esaminare attentamente gli inviti inattesi e i dettagli del mittente per individuare potenziali incongruenze, errori o qualsiasi altra cosa che sembri sospetta. Prestate particolare attenzione al tipo di inviti che cercano di creare un senso di urgenza, di FOMO o che richiedono un'azione immediata. È possibile utilizzare strumenti di analisi del comportamento per rilevare attività insolite dell'account. 

Prima di cliccare su un link, è bene passarci sopra il mouse per controllare l'URL. Questo vi darà almeno un'idea di base del contenuto del link. Per quanto riguarda i link, è possibile utilizzare anche soluzioni avanzate per la sicurezza delle e-mail con controlli sulla reputazione degli URL. Un altro consiglio utile è quello di non scaricare allegati da fonti sconosciute, perché potrebbero essere dannosi e infettare il vostro dispositivo con ogni tipo di virus. 

Rafforzare la sicurezza dell'account

Per migliorare la sicurezza del vostro account, assicuratevi di attivare l'autenticazione a due fattori (2FA) per il vostro account Google. In caso di compromissione delle credenziali, la 2FA può comunque impedire agli hacker di accedere all'account della vittima. Inoltre, utilizzate password forti e uniche per ogni account online e assicuratevi che non contengano informazioni personali (ad esempio, nome, data di nascita, ecc.) che possano essere facilmente indovinate dagli hacker. Cercate di aggiornare regolarmente le impostazioni di sicurezza di tutti i servizi Google e mantenete aggiornati anche il sistema operativo e le applicazioni. 

Seguire i regolamenti

I requisiti spesso non hanno lo scopo di punire l'utente o di complicargli le cose, ma di fornirgli il massimo grado di protezione possibile. Google e Yahoo hanno recentemente introdotto nuovi requisiti di autenticazione delle e-mail per i mittenti massivi, che impongono ai mittenti che inviano più di 5.000 e-mail al giorno di implementare i protocolli SPF, DKIM e DMARC. I mittenti massivi dovranno autenticare le loro e-mail, abilitare opzioni di cancellazione facili e mantenere i tassi di spam al di sotto dello 0,3%. Queste misure sono pensate per proteggere gli utenti dai tentativi di phishing e da altre attività di posta elettronica dannose.

L'evoluzione della natura delle campagne di phishing

Le misure di sicurezza migliorano, ma anche le tecniche degli aggressori. Ad esempio, dopo aver capito che i loro schemi potevano essere individuati quando utilizzavano Google Forms, si sono spostati su Google Drawings per un attacco più sofisticato e inaspettato. Se sono riusciti ad arrivare a Google Drawings, è molto probabile che possano raggiungere anche altri servizi Google comunemente utilizzati, come Docs e Drive, per condurre il loro prossimo attacco. Per questo motivo, è importante essere flessibili e usare prudenza con tutte le piattaforme utilizzate, sia all'interno dell'area di lavoro di Google che al di fuori di essa.

Nota finale

Dato che Google Calendar viene utilizzato comunemente nelle comunicazioni online, le truffe di phishing che prendono di mira Google Calendar richiedono un'attenzione particolare e un'azione immediata. Un recente attacco ha dimostrato quanto veloci ed efficaci possano essere questi attacchi, quindi la cautela e il seguire le raccomandazioni di Google e degli esperti sull'argomento sono fondamentali per la vostra sicurezza online. 

Dovete sempre verificare gli inviti inaspettati, soprattutto quelli che richiedono azioni, e controllare gli URL prima di cliccare sui link degli eventi del calendario. Anche l'utilizzo dell'autenticazione a più fattori (MFA) e di password sicure può aiutare a migliorare la sicurezza contro questi attacchi di phishing. Sebbene questi attacchi possano sembrare molto complessi e versatili, è possibile rimanere protetti anche di fronte ai cyberattacchi più sofisticati se si dispone delle conoscenze e delle competenze necessarie e della giusta "igiene digitale". 

Domande frequenti

Perché continuo a ricevere inviti al calendario spam?

Google Calendar ha un'impostazione dedicata che consente di controllare e gestire le modalità di aggiunta degli inviti al calendario. 

  1. Aprire Calendario Google.
  2. Nell'angolo in alto a destra, fare clic su Impostazioni.
  3. A sinistra, sotto "Generale", fare clic su Impostazioni evento, quindi su "Aggiungi inviti al mio calendario".
  4. Selezionare una delle opzioni disponibili: 
    1. "Da tutti" (si noti che questa opzione può aumentare la probabilità di ricevere inviti di calendario spam)
    2. "Solo se il mittente è conosciuto" 
    3. "Quando rispondo all'invito via e-mail". 

Quanto è sicuro Google Calendar?

Google Calendar si avvale di numerose funzioni di sicurezza, ma il suo grado complessivo di sicurezza dipende ancora dalle impostazioni e dalle pratiche dell'utente. Se attivate l'autenticazione a due fattori, utilizzate password forti, scegliete l'impostazione "Solo se il mittente è noto" e in generale siete cauti con gli inviti provenienti da fonti sconosciute, potete contribuire a rendere l'ambiente di Google Calendar più sicuro e protetto sia per voi che per i vostri contatti.

Gmail dispone di protezioni anti-spoofing?

Sì, Gmail impiega diverse misure anti-spoofing, tra cui i controlli SPF, DKIM e DMARC. Tuttavia, gli aggressori possono talvolta aggirare queste protezioni, rendendo necessario l'uso di misure di sicurezza aggiuntive. Per migliorare la sicurezza delle e-mail al di là delle protezioni integrate in Gmail, dovreste considerare l'utilizzo di soluzioni DMARC avanzate come PowerDMARC. Questa piattaforma offre un'autenticazione completa delle e-mail e strumenti di reporting che aiutano a proteggere le aziende da spoofing, phishing e altre minacce basate sulle e-mail.

CTA

Ultimi messaggi di Milena Baghdasaryan (vedi tutti)
Accesso alla rete a fiducia zero: Porre fine alla fiducia implicita nella sicurezza informaticapubblicare il blog di dmarc recordCome creare e pubblicare un record DMARC