新一波濫用 Google 日曆的釣魚邀請攻擊來襲!千萬別點取邀請中的連結
如果你最近收到內含連結的 Google 日曆活動邀請,請務必忽略,更不要點取其中連結,因為它很有可能與最近十分泛濫的釣魚邀請攻擊有關。該攻擊會濫用 Google 日曆會議邀請和 Google 繪圖(Google Drawings)頁面,藉此避開垃圾郵件篩選器並竊取使用者憑證。
Check Point 指出,在最近一個月內,這波網路釣魚攻擊已向 300 個品牌發送了超過 4,000 封電子郵件。包括教育機構、醫療服務、建築公司以及銀行皆淪為這波攻擊的主要對象。
攻擊者一開始利用 Google 日曆發送看似無害的會議邀請,尤其是使用者在受邀對象中看到熟悉的人,更讓這個惡意釣魚邀請看起來十分可信。最可怕的是,這些釣魚邀請多半內嵌一個連結,使用者點取後會導至完全正常合法的 Google 表單(Google Forms)或 Google 繪圖頁面,就在使用者不疑有他的情況下,然後再進一步提示使用者點擊另一個多半會偽裝成 reCAPTCHA 驗證或支援按鈕的惡意連結。
由於攻擊者利用合法的 Google 日曆服務發起釣魚邀請,因而能輕鬆繞開垃圾郵件篩選器的偵測。而且活動標題看起來完全合法,與任何普通 Google 日曆使用者發出的邀請沒什麼差別。
Check Point 研究人員分享了一張會議邀請郵件主旨的截圖,顯示這些邀請函通過了 DKIM、SPF 和 DMARC 等電子郵件安全驗證機制的檢查,使釣魚邀請成功進入目標者的收件匣。
為了讓發送給目標者的釣魚郵件數量加倍,釣魚攻擊者會故意取消原有的 Google 日曆活動,並向所有邀請對象再次發送內含惡意連結的活動取消訊息,以提升使用者點取連結的機率,以進一步將目標受害者導至釣魚頁面。
為了防止 Google 日曆釣魚攻擊,Google 早在去年 7 月就已推出保護功能,以便讓使用者更容易阻止這類惡意邀請。面對最新一波的釣魚邀請攻擊,使用者最好檢查一下是否已啟用了該保護機制,否則這些釣魚邀請會自動新增到使用者的日曆中。
(首圖來源:科技新報)