小心!Google Calendar 成了黑客的新“钓鱼竿”!

你以为日程邀请安全无害?其实黑客正悄悄利用 Google Calendar 进行网络钓鱼,绕过垃圾邮件过滤器,偷走你的个人信息! 最近,安全公司 Check Point 揭露了一起正在进行的网络攻击,这种攻击通过 Google Calendar 邀请和 Google Drawings 链接来进行诈骗,已有超过 4000封邮件 在短短四周内发出,波及了 300个品牌。让我们来看看黑客是如何“钓鱼”的,以及如何保护自己!


攻击手法揭秘:日历邀请隐藏的陷阱

  1. 第一步:收到日程邀请
    黑客通过 Google Calendar 发送会议邀请。这些邀请看起来相当正常,而且可能会显示一些你“认识”的参会者(实际上他们也是被黑客利用的)。
    恶意 Google Calendar 邀请示例,表面看似正常,实则暗藏玄机。
  2. 第二步:点击邀请中的链接
    邀请中嵌入了一个链接,看起来像是验证码(reCaptcha)或技术支持按钮。点击后,它会引导你到 Google FormsGoogle Drawings 页面。
    看似无害的 Google Drawings 链接,实际通向钓鱼页面!
  3. 第三步:进一步引诱点击
    在 Google Forms 或 Google Drawings 页面上,你会被提示点击另一个链接。如果你中招,这个链接会把你带到一个伪造的登录页面,窃取你的用户名和密码。
    典型的假冒登录页面,盗取你的凭据。
  4. 绕过安全检查
    由于邀请来自合法的 Google 服务(比如 Google Calendar),因此它们能通过 DKIM、SPF 和 DMARC 等邮件安全检查,不会被垃圾邮件过滤器拦截,直接进入你的收件箱。
    邮件头部显示安全检查通过,迷惑性极强!

为什么钓鱼攻击这么难防?

  • 伪装得很好:邀请来自 Google Calendar,看起来像是合法活动。
  • 绕过安全防护:因为使用了 Google 的服务,所以很难被系统标记为垃圾邮件。
  • 社交工程陷阱:邀请中可能包含你熟悉的名字,让你放松警惕。

如何保护自己?简单实用的防护指南

  1. 谨慎对待陌生日程邀请
    如果收到不明来源的 Google Calendar 邀请,尤其是含有链接的,不要轻易点击!
  2. 检查链接来源
    鼠标悬停在链接上,查看实际网址。如果是可疑网站,千万别点。
  3. 修改 Google Calendar 设置
    • 打开 Google Calendar。
    • 进入 设置 > 活动设置 > 自动添加邀请
    • 选择 “不自动添加,除非我回复了邀请”

    调整设置,防止自动添加可疑邀请。
  4. 开启两步验证
    为 Google 账户启用两步验证,即使密码被盗,黑客也难以登录。
  5. 保持警惕
    如果邀请中的内容让你感到奇怪,最好先向发件人核实真实性。

结语:网络安全,你我共守护

黑客的手法不断翻新,就连日常使用的 Google Calendar 也成了他们的“钓鱼竿”。保持警惕,养成良好的安全习惯,是保护自己和数据安全的关键。下次收到莫名其妙的会议邀请时,记得仔细核查,不要轻易掉入陷阱!

发表评论

您的邮箱地址不会被公开。 必填项已用 * 标注

滚动至顶部