Google Calendar: hacker usano inviti per aggirare i filtri antispam

Un attacco phishing in corso sta abusando degli inviti di Google Calendar e delle pagine di Google Drawings per rubare credenziali aggirando i filtri antispam. Secondo l’agenzia di sicurezza informatica Check Point, che ha monitorato l'attacco, gli autori della minaccia hanno preso di mira 300 marchi con oltre 4.000 e-mail inviate in quattro settimane. Check Point rivela gli attacchi hanno preso di mira svariate aziende, tra cui istituti scolastici, servizi sanitari, aziende edili e banche. L'attacco inizia con gli autori della minaccia che utilizzano Google Calendar per inviare inviti a riunioni. Questi sembrano piuttosto innocui, soprattutto se si riconoscono alcuni degli altri ospiti. Incorporato in questi inviti, c'è un link che porta a Google Forms o Google Drawings che chiede all'utente di fare clic su un altro collegamento. In genere è camuffato da reCaptcha o pulsante di supporto.

Google Calendar: come avvengono gli attacchi di phishing sulla piattaforma

I ricercatori di Check Point hanno rivelato che utilizzando i servizi di Google Calendar per avviare gli inviti di phishing, aggirano i filtri antispam poiché provengono da un servizio Google legittimo. Come rivelato dal team di Check Point alla redazione di Bleeping Computer: "gli aggressori hanno utilizzato i servizi di Google Calendar, facendo apparire le intestazioni completamente legittime e indistinguibili dagli inviti inviati da qualsiasi utente tipico di Google Calendar". I ricercatori hanno condiviso un'immagine delle intestazioni delle e-mail, che mostra che hanno superato i controlli di sicurezza delle e-mail DKIM, SPF e DMARC. Ciò consente all'invito di phishing di arrivare nelle caselle di posta delle vittime.

Per raddoppiare il numero di e-mail di phishing inviate al bersaglio, gli autori della minaccia possono anche annullare l'evento di Google Calendar e includere un messaggio che verrà inviato ai partecipanti. Questo messaggio può anche includere un collegamento, come un link a Google Drawings, per indirizzare ulteriormente i bersagli alle pagine dannose. Il phishing di Google Calendar non è una novità. Google ha già implementato delle protezioni che consentono agli utenti di bloccare facilmente questo tipo di invitati. Tuttavia, se un amministratore di Google Workspace non abilita queste protezioni, gli utenti continueranno ad avere invitati aggiunti automaticamente al calendario. Check Point consiglia agli utenti di diffidare da tutti gli inviti alle riunioni ricevute. Inoltre, se viene chiesto di cliccare su un collegamento, basta ignorare la richiesta, a meno che non ci si fidi del mittente.