Подмена календаря Google: Как злоумышленники используют ее для фишинговых афер

В последние несколько месяцев эксперты по кибербезопасности все чаще сталкиваются с хитроумной разновидностью фишинговых афер - подменой Google Calendar. В ходе этой сложной и изощренной атаки злоумышленники рассылают легитимные, но поддельные приглашения на встречу, которые перенаправляют приглашенных на фишинговые сайты. Эти сайты внешне очень похожи на официальную платформу Google, что делает эти атаки еще более опасными и побуждает пользователей вводить конфиденциальную информацию или переходить по вредоносным ссылкам.

Исследователи Check Point недавно обнаружили случай подмены календаря Google, когда хакеры атаковали 300 организаций с помощью более чем 4 000 поддельных приглашений в календарь всего за четыре недели. Такой масштаб показывает, насколько опасной может быть подделка Google Calendar, и делает необходимым обнаружение и предотвращение подобных атак.

Как работает подмена календаря Google

Ниже перечислены основные этапы успешной попытки подмены Google Calendar: 

Использование возможностей календарного приглашения

Подмена календаря Google

Злоумышленники используют удобные функции Google Calendar для рассылки фишинговых писем, которые выглядят как реальные приглашения на встречу. На начальном этапе хакеры использовали функции, заложенные в Google Calendar, и включали ссылки, ведущие на Google Forms. Однако со временем атака стала еще более сложной и опасной, поскольку злоумышленники поняли, что фильтры безопасности и шлюзы способны отмечать вредоносные приглашения в Календарь. 

В настоящее время атака эволюционировала в соответствии с возможностями Google Drawings. Часто ссылки на Google Form, Google Drawings или вложения файлов ICS содержат CAPTCHA или кнопку поддержки.

Недостаток Google Calendar по умолчанию

По умолчанию Google автоматически добавляет приглашения в календарь в календарь пользователя, даже если приглашение является незапрошенным. Злоумышленники пользуются этим, чтобы вставлять вредоносные ссылки в календари пользователей, не требуя взаимодействия с электронной почтой.

Манипулирование заголовками электронной почты и подмена отправителя

Исследователи обнаружили что злоумышленники могут обходить спам-фильтры, рассылая фишинговые приглашения через Google Calendar, поскольку письма кажутся пришедшими от легитимного сервиса Google. Поскольку злоумышленники используют Google Calendar, заголовки писем выглядят как настоящие, и их невозможно отличить от настоящих приглашений в календарь. Исследователи представили снимок этих заголовков, показывающий, что фишинговые письма попадают в почтовые ящики, потому что они прошли проверки безопасности DKIM, SPF и DMARC.

Злоумышленники также могут отменить событие в календаре и добавить примечание, которое будет отправлено участникам по электронной почте, что фактически удваивает количество отправленных фишинговых писем. Это сообщение может содержать ссылку - например, на Google Drawings, - чтобы заставить жертву посетить фишинговые сайты.

Вредоносные файлы .ics и поддельные ссылки

Фишинговые письма Google Calendar содержат файл календаря (.ics) со ссылкой на Google Forms или Google Drawings. Как только получатель нажимает на первую ссылку, ему предлагается нажать на другую вредоносную ссылку, которая часто появляется в виде reCAPTCHA или кнопки поддержки.

Такая тактика довольно часто встречается в фишинговые письмакоторые призваны обманом заставить получателя раскрыть конфиденциальную информацию или выполнить действия, выгодные киберпреступнику. Распознавание таких общих характеристик фишинговых писем поможет вам оставаться защищенным в Интернете и не стать жертвой подобных схем.

Фальшивые страницы поддержки и криптовалютные мошенничества

После нажатия на вредоносную ссылку жертвы перенаправляются на мошеннические сайты, предназначенные для кражи личной информации или корпоративных данных. Эти страницы часто имитируют целевые страницы для добычи криптовалюты, сайты поддержки биткойнов или поддельные процессы аутентификации с целью сбора конфиденциальных данных и платежной информации.

Почему Календарь Google является мишенью для мошенников

Календарь Google - одна из самых распространенных платформ в мире; более 500 миллионов пользователей со всего мира используют ее для планирования встреч и управления своим временем. Она является частью Google Workspace и доступен на 41 языке.

Приглашениям из календаря часто доверяют больше, чем обычным фишинговым письмам, поскольку пользователи привыкли получать их и взаимодействовать с ними на регулярной основе. Это также способствует успеху и эффективности атак на подмену Google Calendar. 

Влияние фишинговых афер с использованием Google-календаря

Календарь Google Фишинговые аферы могут привести к крупным финансовым потерям и утечке данных как для частных лиц, так и для организаций. Похитив личную и финансовую информацию, злоумышленники могут использовать ее для мошенничества с кредитными картами, несанкционированных транзакций или для обхода мер безопасности на других аккаунтах.

В результате недавней атаки пострадали около 300 брендов из самых разных отраслей, включая образовательные учреждения, медицинские учреждения, строительные компании и банки.

Чтобы снизить риски, связанные с этими атаками, организациям следует внедрить защита от подмены домена меры. Они помогут предотвратить несанкционированное использование доменного имени компании в попытках фишинга и других мошеннических действиях.

Последняя атака: 300 организаций стали жертвами подмены календаря Google

Исследователи Check Point выявили сложную фишинговую кампанию, в рамках которой всего за четыре недели 300 организациям было разослано более 4000 поддельных приглашений в календарь. Злоумышленники манипулировали заголовками электронной почты, чтобы придать приглашениям легитимный вид, как будто они были отправлены из Google Calendar от имени известных, доверенных и легитимных лиц.

Главным мотивом злоумышленников была финансовая выгода, поскольку они стремились обманом заставить пользователей предоставить конфиденциальную информацию или доступ к корпоративным данным. Эта информация затем помогала злоумышленникам совершать мошенничество с кредитными картами, несанкционированные транзакции и обходить меры безопасности на других аккаунтах.

Атака обычно начиналась с вложения в фишинговые письма файла календаря (.ics) или ссылок на поддельные страницы поддержки. Затем пользователям предлагалось пройти аутентификацию, ввести личную информацию и предоставить платежные реквизиты на мошеннических целевых страницах, которые часто маскировались под сайты поддержки криптовалютного майнинга или биткоина.

Ответные меры Google и меры безопасности

Включить настройку "Известные отправители

Одним из полезных шагов для предотвращения подделки Google Calendar является использование настройки "Известные отправители" в Google Calendar. На самом деле, Google сама рекомендует использовать эту функцию в ответ на распространенные схемы подмены Google Calendar. Как пишет заявил представитель Google, включение настройки "Только если отправитель известен" в Календаре Google "помогает защититься от этого типа фишинга, предупреждая пользователя о получении приглашения от человека, которого нет в его списке контактов и/или с которым он не взаимодействовал в прошлом по этому адресу электронной почты".

Общие правила безопасности, предложенные Google

Помимо специальных настроек "Известные отправители", Google также предлагает несколько общих рекомендаций по улучшению и повышению эффективности методов обеспечения безопасности в Интернете. Например, пользователи могут попытаться: 

• Периодически просматривайте и корректируйте настройки календаря.
• С осторожностью относитесь к неожиданным приглашениям, особенно к тем, которые требуют совершить какое-то подозрительное действие. Понимание того, как распознать законные предупреждения безопасности Google поможет защититься от изощренных попыток фишинга.
• Проверяйте адрес электронной почты отправителя до того, как он примет приглашение.

Советы экспертов по защите от фишинга в календаре

Будьте осторожны с приглашениями на мероприятия

Вам следует внимательно изучить неожиданные приглашения и данные об отправителе на предмет возможных несоответствий, ошибок или чего-либо еще, что выглядит подозрительно. Обратите особое внимание на те приглашения, которые пытаются создать ощущение срочности, FOMO или требуют немедленных действий. Для выявления необычной активности аккаунта можно использовать инструменты поведенческой аналитики. 

Не переходите по подозрительным ссылкам

Прежде чем нажимать на ссылки, наведите на них курсор, чтобы проверить URL. Это даст вам хотя бы общее представление о том, о чем идет речь в ссылке. Если речь идет о ссылках, вы также можете использовать передовые решения для защиты электронной почты с проверкой репутации URL. Еще один полезный совет - не загружать вложения из неизвестных источников, так как они могут быть вредоносными и заразить ваше устройство всевозможными вирусами. 

Усиление безопасности учетной записи

Чтобы повысить безопасность аккаунта, включите двухфакторную аутентификацию (2FA) для своего аккаунта Google. Если ваши учетные данные будут скомпрометированы, 2FA поможет предотвратить доступ хакеров к аккаунту жертвы. Кроме того, используйте надежные уникальные пароли для каждого аккаунта в Интернете и убедитесь, что они не содержат никакой личной информации (например, имени, даты рождения и т. д.), которую могут легко угадать хакеры. Старайтесь регулярно обновлять настройки безопасности во всех сервисах Google, а также поддерживать операционную систему и приложения в актуальном состоянии. 

Следуйте правилам

Требования зачастую призваны не наказать вас или усложнить ситуацию, а обеспечить максимально возможную степень защиты. Google и Yahoo недавно ввели новые требования к аутентификации электронной почты для массовых отправителей, согласно которым отправители, рассылающие более 5 000 писем в день, должны внедрить протоколы SPF, DKIM и DMARC. Массовые отправители должны будут проверять подлинность своих писем, предоставлять возможность легкой отписки и поддерживать уровень спама ниже 0,3 %. Эти меры призваны защитить пользователей от попыток фишинга и других вредоносных действий с электронной почтой.

Эволюционная природа фишинговых кампаний

Меры безопасности совершенствуются, но совершенствуются и методы злоумышленников. Например, поняв, что их схемы могут быть обнаружены при использовании Google Forms, злоумышленники перешли к Google Drawings, чтобы провести более сложную и неожиданную атаку. Если им удалось добраться до Google Drawings, велика вероятность, что они смогут добраться и до других широко используемых сервисов Google, таких как Docs и Drive, чтобы провести свою следующую атаку. Поэтому важно проявлять гибкость и осторожность при всеми платформами, которые вы используете, как в рабочем пространстве Google, так и за его пределами.

Конечная сноска

Учитывая то, как часто Google Calendar используется в онлайн-коммуникациях, фишинговые атаки, направленные на Google Calendar, требуют особого внимания и немедленных действий. Недавняя атака показала, насколько быстрыми и эффективными могут быть такие атаки, поэтому соблюдение осторожности и следование рекомендациям Google и экспертов по этой теме - залог вашей безопасности в Интернете. 

Всегда проверяйте неожиданные приглашения, особенно те, которые запрашивают действия, и проверяйте URL-адреса, прежде чем переходить по ссылкам на события календаря. Использование многофакторной аутентификации (MFA) и надежных паролей также поможет вам укрепить защиту от этих фишинговых атак. Хотя эти атаки могут показаться очень сложными и многогранными, можно оставаться защищенным перед лицом даже самых изощренных кибератак, если у вас есть необходимые знания, навыки и правильная цифровая "гигиена". 

Вопросы и ответы

Почему я постоянно получаю спам с приглашениями в календарь?

В Календаре Google есть специальная настройка, позволяющая контролировать и управлять добавлением приглашений в Календарь. 

1. Открыть Календарь Google.
2. В правом верхнем углу нажмите Настройки.
3. Слева в разделе "Общие" нажмите "Настройки событий", затем "Добавить приглашения в мой календарь".
4. Выберите один из доступных вариантов: 
   1. "От всех" (обратите внимание, что этот вариант может увеличить вероятность получения спам-приглашений в календарь)
   2. "Только если отправитель известен". 
   3. "Когда я отвечаю на приглашение по электронной почте". 

Насколько безопасен Google Календарь?

В Календаре Google используются многочисленные средства защиты, но общая степень безопасности зависит от настроек и практики пользователя. Если вы включите двухфакторную аутентификацию, будете использовать надежные пароли, выберете настройку "Только если отправитель известен" и вообще будете осторожны с приглашениями из неизвестных источников, вы сможете сделать среду Календаря Google более безопасной и надежной как для вас, так и для ваших контактов.

Есть ли в Gmail средства защиты от подделки?

Да, в Gmail используется несколько мер защиты от подделки, включая проверки SPF, DKIM и DMARC. Однако злоумышленники иногда могут обойти эти средства защиты, поэтому необходимо использовать дополнительные меры безопасности. Чтобы повысить безопасность электронной почты за пределами встроенных средств защиты Gmail, стоит воспользоваться передовыми решениями DMARC, например PowerDMARC. Эта платформа предлагает комплексные средства проверки подлинности электронной почты и отчетности, которые помогают защитить предприятия от подмены, фишинга и других угроз, связанных с электронной почтой.

• О сайте
• Последние сообщения

Милена Багдасарян

Специалист по контенту в PowerDMARC

Милена - опытный писатель и создатель контента с более чем 7-летним опытом работы в создании увлекательных материалов по ИТ, кибербезопасности, виртуальным мероприятиям и многим другим темам. У нее есть опыт работы с высококачественными материалами для международных журналов, она окончила такие престижные учебные заведения, как Нью-Йоркский университет Абу-Даби, UWC China и Колледж Европы.

Последние сообщения Милены Багдасарян (см. все)

• Объяснение сквозного шифрования электронной почты Gmail: Руководство для корпоративных пользователей - 9 апреля 2025 г.
• Лучшие инструменты для обеспечения доставки электронной почты - 7 апреля 2025 г.
• Как проверить доставляемость электронной почты? - 2 апреля 2025 г.