Los atacantes son robo de identidad Google Calendar invita a una distribución rápida phishing campaña que puede eludir las protecciones del correo electrónico y tiene como objetivo robar credenciales y, en última instancia, defraudar a los usuarios para obtener ganancias financieras.
La campaña, descubierta por los investigadores de Check Point Software, se basa en títulos de “remitente” alterados para hacer que los correos electrónicos parezcan enviados a través de Google Calendar en nombre de una entidad legítima, como una marca o un individuo de confianza. reveló en una publicación de blog publicada el 17 de diciembre.
Inicialmente, los mensajes incluían archivos .ics maliciosos de Google Calendar que provocarían una ataque de phishingescribieron los cazadores de amenazas. Sin embargo, “después de observar que los productos de seguridad podían detectar invitaciones maliciosas en Calendar”, los atacantes comenzaron a alinear estos archivos con enlaces a Google Drawings y Google Forms para ocultar mejor su actividad.
El objetivo es la estafa financiera a gran escala
Dado que Google Calendar es utilizado por más de 500 millones de personas y está disponible en 41 idiomas diferentes, la campaña ofrece una enorme superficie de ataque. Por tanto, no es de extrañar que se haya convertido en un objetivo para los usuarios. ciberdelincuentes” buscando comprometer cuentas en línea para obtener ganancias financieras, señaló el equipo.
“Después de que un individuo revela, sin saberlo, datos confidenciales, los detalles se aplican a estafas financieras, en las que los ciberdelincuentes pueden participar en fraudes con tarjetas de crédito, transacciones no autorizadas o actividades ilícitas similares”, escribieron los investigadores en su artículo. Los datos robados también pueden usarse para eludir las medidas de seguridad en las cuentas de otras víctimas y provocar mayores compromisos, agregaron.
Los atacantes también están progresando rápidamente con la campaña: los investigadores observaron más de 4.000 correos electrónicos asociados durante un período de cuatro semanas. En estos mensajes, los atacantes utilizaron referencias a alrededor de 300 marcas en sus invitaciones falsas para que parecieran auténticas, escribieron.
¿Cómo se ve un phishing en Google Calendar?
Un mensaje de campaña se parece a una invitación típica de Google Calendar en la que alguien que la persona objetivo conoce o en quien confía comparte una invitación de calendario con ella. Los mensajes varían en apariencia, algunos parecen casi idénticos a las notificaciones típicas de Google Calendar, “mientras que otros usan un formato personalizado”, escribió el equipo.
Como se señaló anteriormente, los correos electrónicos incluyen un enlace o un archivo de calendario (.ics) que incluye un enlace a Google Forms o Google Drawings en un intento de eludir las herramientas de escaneo de correo electrónico. Una vez que un usuario muerde el anzuelo, se le pide que haga clic en otro enlace, “que a menudo está disfrazado de enlace”. reCAPTCHA falso o un botón de soporte”, que los redirige a una página “que parece una página de inicio de minería de criptomonedas o una página de soporte de Bitcoin”, según la publicación.
“Estas páginas en realidad están destinadas a perpetrar estafas financieras”, escribió el equipo. “Una vez que los usuarios llegan a esta página, se les pide que completen un proceso de autenticación falso, ingresen información personal y, opcionalmente, proporcionen detalles de pago”.
Cómo evitar convertirse en cibervíctima del phishing de “Google”
Check Point se puso en contacto con Google sobre la campaña, que recomendó a los usuarios de Google Calendar habilitar la configuración “Remitentes conocidos” en la aplicación para ayudar a defenderse contra este tipo de correo electrónico. phishing. Esta configuración alertará a un usuario cuando reciba una invitación de alguien que no esté en su lista de contactos o de alguien con quien no haya interactuado desde su dirección de correo electrónico en el pasado, dijo la compañía.
Los defensores empresariales pueden utilizar soluciones avanzadas de seguridad del correo electrónico que pueden identificar y bloquear ataques de phishing que manipulan plataformas confiables con la inclusión de escaneo de archivos adjuntos, verificaciones de reputación de URL y detección de anomalías basada en inteligencia artificial, escribió el equipo de Check Point.
Las organizaciones también deben monitorear el uso de Google Apps de terceros y utilizar herramientas de ciberseguridad que puedan detectar y alertar específicamente a sus equipos de seguridad sobre cualquier actividad sospechosa en aplicaciones de terceros.
Por último, dos consejos que las organizaciones suelen citar a la hora de recomendar una defensa contra el phishing: el uso de autenticación multifactor (MFA) en cuentas comerciales y capacitar a los empleados en tácticas sofisticadas de phishing también pueden funcionar en casos como este para aumentar la seguridad.