Mới đây, một chiến dịch lừa đảo đang diễn ra đã lợi dụng Google Calendar để thu hút người dùng, nhằm đánh cắp thông tin đăng nhập nhạy cảm của họ. Theo báo cáo từ Check Point, đơn vị đang theo dõi sự việc, những kẻ tấn công đã nhắm đến 300 thương hiệu khác nhau với hơn 4.000 email lừa đảo được gửi trong vòng bốn tuần qua. Các nạn nhân gồm nhiều lĩnh vực khác nhau, từ các cơ sở giáo dục, dịch vụ chăm sóc sức khỏe, đến các công ty xây dựng và ngân hàng.
Chiến dịch này bắt đầu bằng việc các kẻ tấn công sử dụng Google Calendar để gửi lời mời họp có vẻ vô hại, đặc biệt nếu người nhận nhận diện được một số người tham gia khác trong danh sách. Trong những lời mời này, kèm theo là một liên kết dẫn đến các trang Google Forms hoặc Google Drawings, yêu cầu người dùng nhấp vào một liên kết khác, thường được ngụy trang dưới dạng một nút reCaptcha hoặc hỗ trợ.
Theo các nhà nghiên cứu email tại Check Point, việc sử dụng dịch vụ của Google Calendar để khởi xướng các lời mời lừa đảo đã giúp các kẻ tấn công vượt mặt các bộ lọc spam, bởi vì những email này đến từ một dịch vụ Google hợp pháp. “Các kẻ tấn công đã sử dụng dịch vụ Google Calendar, làm cho các tiêu đề email xuất hiện hoàn toàn hợp lệ và không thể phân biệt được với các lời mời được gửi từ bất kỳ người dùng Google Calendar điển hình nào,” Check Point nói với BleepingComputer.
Ngoài ra, để tăng số lượng email lừa đảo được gửi tới mục tiêu, các kẻ tấn công có thể hủy sự kiện Google Calendar sau đó kèm theo một thông điệp sẽ được gửi đến các người tham gia. Thông điệp này có thể bao gồm một liên kết, như liên kết đến Google Drawings, nhằm dẫn dụ các nạn nhân truy cập vào các trang lừa đảo.
Mặc dù loại hình lừa đảo qua Google Calendar không phải là mới, nhưng Google đã từng triển khai nhiều biện pháp bảo vệ cho phép người dùng dễ dàng chặn các loại lời mời này. Tuy nhiên, nếu quản trị viên không kích hoạt các biện pháp bảo vệ này trong Google Workspace, người dùng vẫn có thể nhận các lời mời tự động được thêm vào lịch của họ mà không có sự đồng ý.
Check Point khuyến nghị người dùng cần cẩn trọng với tất cả các lời mời họp nhận được, và nếu bất kỳ lời mời nào yêu cầu bạn nhấp vào liên kết, hãy bỏ qua trừ khi bạn tin tưởng hoặc xác nhận người gửi.