Google 日曆是廣泛使用的行事曆,卻成為黑客的釣魚攻擊途徑。Check Point 發現,黑客利用 Google 日曆和繪圖工具,針對約 300 個品牌發起精密網絡釣魚攻擊,假借「寄件人」郵件標頭,將釣魚郵件偽裝成來自 Google 日曆的訊息,如活動邀請,並將嵌入式惡意連結夾藏在邀請內,誘使受害者點擊引導至 Google Forms。在過去兩星期偵察到超過 2,300 封這類釣魚郵件。反映這模式已成網絡威脅趨勢。
由於目前的網絡安全方案能夠識別惡意日曆邀請,黑客轉向濫用 Google 繪圖,在日曆邀請附帶繪圖的惡意連結或附件,誘騙用戶點擊偽裝的按鈕,續而進入假冒加密貨幣平台或技術支援網站的詐騙頁面,騙用戶提供個人和付款資料。 由於 Google 日曆邀請的會議參與者大多為已知聯絡人,而且內容看似正常,或有機會不誤有詐上當。
Check Point 建議企業採取這些措施保護用戶:
- 電郵安全解決方案;
- 監控第三方 Google 應用程式的使用情況;
- 採用 MFA 身分驗證機制。
擔憂收到詐騙郵件的用戶可參考這些建議:
- 謹防虛假的 Google 日曆活動邀請:如果日曆活動邀請包含意料之外的資訊,或要求執行異常步驟,如驗證碼互動 「CAPTCHA」,請終止運作。
- 仔細檢視電郵內容:在點擊連結前,先將滑鼠停在連結上檢查網址,或直接在 Google 搜尋欄手動輸入網址。
- 啟用雙重身份驗證:對於 Google 帳戶及其他儲存敏感資料的帳戶,啟用雙重身分驗證(2FA)。即使帳戶憑證遭外洩,仍能有效阻止不法分子存取帳戶。