Le applicazioni di Google come mezzo del cyber crime per colpire con il phishing professionisti, organizzazioni e semplici utenti. L’ultima serie di truffe, rilevata a maggio, riguarda Google Calendar, strumento usato quotidianamente per l’organizzazione del lavoro e dei propri impegni.
Un’indagine di Kaspersky ha individuato come questi raggiri sfruttino la funzione che permette di aggiungere automaticamente gli appuntamenti al calendario. Azioni malevoli che per i cyber criminali risultano essere redditizie.
Indice degli argomenti
Come funziona il phishing su Google Calendar
La truffa attuata a maggio è risultata essere ben architettata e si manifesta attraverso notifiche pop up del calendario non desiderate: i criminali mandano alle vittime una mail di invito in cui è linkata una URL di phishing.
Vedendo la notifica dunque, la vittima è spronata a cliccarci sopra. A quel punto, l’URL rimanda a un sito in cui si invita la vittima a inserire i propri dati personali e della carta di credito per una vincita in denaro.
I malviventi raccoglieranno poi i dati per i loro scopi illeciti: “Le persone sono più o meno abituate a ricevere messaggi spam via e-mail o messenger e a non fidarsi immediatamente. Ma potrebbe non essere così quando si parla dell’app Calendario, la cui funzione principale è quella di organizzare le informazioni piuttosto che trasferirle – dichiara in una nota ufficiale Maria Vergelis, security researcher di Kaspersky. “Fino a ora, l’esempio che abbiamo visto contiene un messaggio che illustra un’offerta indubbiamente strana ma, come succede, ogni schema semplice diventa sempre più elaborato e ingannevole con il passare del tempo. La buona notizia è che non c’è bisogno di precauzioni sofisticate per evitare tale truffa: la funziona che la permette può essere facilmente disattivata dalle impostazioni del calendario”.
I consigli per evitare la truffa di Google Calendar
I ricercatori di Kaspersky hanno consigliato agli utenti di Google Calendar, per evitare il phishing, di disattivare l’aggiunta automatica di inviti al calendario: passo per passo, si deve aprire Google Calendar, cliccare sull’icona a rotella che indica le impostazioni, quindi su Impostazioni eventi, poi alla dicitura Aggiungi automaticamente gli inviti, bisogna cliccare sul menu a tendina e selezionare No, mostra solo gli inviti a cui ho risposto. Sotto, nella sezione Mostra opzioni, bisogna verificare che Mostra eventi rifiutati non sia spuntato.
Una raccomandazione più generale, prevede invece di non inserire informazioni personali se non si è più che sicuri che il sito a cui si viene indirizzati sia reale.
I rischi con le altre applicazioni
Ma non solo Google Calendar viene sfruttata dai criminali per trarne profitto. I ricercatori Kaspersky hanno rilevato che gli scammer si servono anche delle altre applicazioni di Google. Google foto, ad esempio, viene usata per condividere immagini relative a denaro che può essere ottenuto scrivendo a un account email che viene indicato. La notifica riguarda solo la condivisione di una foto, quindi l’utente può essere tratto in inganno.
L’applicazione Moduli Google viene invece sfruttata tramite la creazione di sondaggi al fine di carpire i dati personali altrui per finalità di marketing indesiderato.