Falsi inviti inviati tramite Google Calendar riescono a fare incetta di vittime tra gli utenti, soprattutto quelli non particolarmente ferrati in materia di cyber security. Il phishing si fa sempre più raffinato e subdolo.
La notizia potrebbe esaurirsi qui se non fosse che questo andamento, già rilevato alla fine del 2024, è stato inquadrato in modo preciso dai ricercatori di Check Point secondo i quali il fenomeno sarebbe riuscito a prendere di mira centinaia di organizzazioni e circa 4.000 utenti nel giro di un mese.
Un monito che spinge a una riflessione e alla cautela senza però creare allarmismi i quali, oltre a essere fini a loro stessi, non producono mai nulla di valido. Va anche considerato che Google continua a migliorare i propri servizi, rendendoli più resilienti e sicuri.
Con l’aiuto del funzionario ICT ed esperto di cyber security Salvatore Lombardo entriamo nei dettagli e affrontiamo il problema proponendo soluzioni facilmente percorribili.
Indice degli argomenti
Come funziona lo spoofing di Google Calendar
Sfruttando l’header spoofing i cyber criminali inviano inviti che sembrano provenire da mittenti noti o legittimi e, in realtà vengono utilizzati per rubare dati sensibili.
Nell’invito o nell’email che lo accompagna è presente un link che conduce la vittima verso una pagina creata appositamente per raccogliere dati personali che, coerenti con il contesto dell’invito, vengono richiesti per secondi fini (persino per preparare cyber attacchi futuri).
I link malevoli conducono a pagine di Google Forms oppure di Google Drawings ma l’intento è sempre quello di indurre gli utenti a rilasciare informazioni sensibili.
Perché Google Calendar è appetibile per il cyber crimine
Per due ragioni, una banale e l’altra un po’ meno: la prima è l’ampia diffusione del servizio erogato da Big G che conta oltre 500 milioni di utenti mensili attivi e, per impostazione predefinita, gli inviti vengono aggiunti automaticamente al calendario degli utenti a cui sono rivolti, questo aiuta involontariamente gli attaccanti.
La seconda ragione è l’efficacia dimostrata dagli strumenti di scansione delle email integrati tanto in Gmail quanto nei client di posta elettronica di Microsoft.
Simili attacchi erano originariamente perpetrati via email e, poiché venivano intercettati dai sistemi di sicurezza, i cyber criminali hanno individuato in Google Calendar un modo per aggirare l’ostacolo.
Questo secondo motivo dà forma alla capacità di azione e alla tenacia degli attaccanti, sempre pronti a escogitare stratagemmi più sofisticati per conseguire i propri piani.
Quali precauzioni prendere
Lasciamo a Salvatore Lombardo il compito di rassicurare gli utenti e dare dei consigli utili, partendo dal grado di sicurezza dei servizi Google: “In linea di massima, i servizi Google (come Gmail, Google Drive, Google Forms, etc.) sono tecnologicamente sicuri. Google investe molto nella sicurezza e ha sistemi avanzati per rilevare accessi sospetti, phishing e malware.
Tuttavia, la sicurezza dipende anche da come vengono usati questi strumenti. Un Google Form può essere creato da chiunque – anche da malintenzionati – e farlo sembrare lecito. Ricordiamo sempre il fatto che sebbene un link porti verso un dominio legittimo come Google ciò non garantisce mai che il contenuto sia affidabile”.
In merito alle precauzioni, l’esperto suggerisce:
- Non cliccare su link sospetti ricevuti via email o messaggi, anche se sembrano provenire da contatti noti
- Controllare bene il mittente delle email (a volte è simile ma non uguale a quello reale)
- Non inserire informazioni sensibili (esempio password, codici fiscali, carte) in moduli non verificati.
- Attivare la verifica in due passaggi su tutti i propri account
- Usare un antivirus/antiphishing aggiornato.
Nel caso di specie conviene sempre abilitare l’ impostazione ‘Mittenti noti’ di Google Calendar, come del resto viene consigliato dalla stessa piattaforma (qui il link alla documentazione ufficiale).
Un ultimo consiglio. Abbiamo chiesto a Salvatore Lombardo se è opportuno – soprattutto laddove nasce un sospetto – contattare il mittente dell’invito per chiedere conferma della sua autenticità: “Sì, ma solo usando un canale differente. Non rispondere direttamente all’email sospetta. Ad esempio, se l’invito sembra provenire da un collega, chiamiamolo o scriviamogli su un’altra piattaforma per chiedere conferma”.
