駭客利用Google Calendar的邀請功能發動網釣攻擊

駭客在Google Calendar通知內容中加入釣魚網站的連結，用戶點擊後即會被導向一個問卷調查網站，當用戶填寫完畢後即顯示用戶中獎，並要求用戶填寫信用卡號碼及姓名、電話、住址等資訊

文/林妍溱 | 2019-06-13發表

翻攝自：https://www.kaspersky.com/blog/spam-through-google-services/27228

Google的通知功能很方便，當雙方約定開會時，對方可以傳送Google Calendar會議通知到用戶Gmail信箱，且只要按一下就可加入自己的Google Calendar。但安全業者卡巴斯基近日發現，有網路駭客利用了手機版的Google Calendar通知功能來發動網釣攻擊，騙取用戶信用卡號及重要個資。

卡巴斯基研究人員在五月間，發現數起利用手機版Google Calendar通知傳送詐騙郵件的案例。在手機版Google Calendar上，經由Calendar和Gmail的整合，當有人傳送此類會議通知，會驅動一個跳出式的Gmail通知出現在手機主頁上，要求用戶點選。在最新的攻擊中，駭客在通知內容中加入釣魚網站的連結，用戶點擊後即會被導向一個問卷調查網站，當用戶填寫完畢後即顯示用戶中獎，並要求用戶填寫信用卡號碼及姓名、電話、住址等資訊。不知情而填寫的用戶此時已被騙取個資。

卡巴斯基研究人員指出，這招「行事曆詐騙」手法很有效，因為大部份用戶已經對陌生人傳送的電子郵件和簡訊有警戒心，但Calendar則前所未見，畢竟它是用來整理而非傳送資訊。卡巴斯基另外也指出，這種手法也助於駭客繞過Google的防護機制，因為它的垃圾郵件過濾引擎會避免把自家服務傳送的通知當成垃圾郵件。此外，Google Calendar設計上，也較會接受陌生人傳送的會議邀請。

好消息是，防範之道很簡單。只要關閉自動將邀請加入Google Calendar的功能。在齒輪標示的選單中的「活動設定」、點入「自動新增邀請」，選擇「否，只顯示我已經回覆的邀請」。此外對於不確定是否安全的網站，也絕不輸入個資。

事實上，Google服務之間的整合性已不是第一次被用於惡意用途。過去即曾有駭客冒充受害者友人傳送Google Docs要求編輯文件的Gmail電子郵件，等用戶按下郵件中「在Docs中開啟文件」的連結後，即被導向惡意網站騙取Gmail帳密的事件。

卡巴斯基發現過，駭客利用Google整合服務的惡意行為，還包括Google Photos傳送嵌入網釣URL或Email信箱的訊息、以Google Forum誘使用戶做假的問卷調查、或是對Google Analytics用戶傳送包含惡意URL的PDF檔案等等。

資料來源 https://www.ithome.com.tw/news/131253