Google的通知功能很方便,当双方约定开会时,对方可以发送Google Calendar会议通知到用户Gmail信箱,且只要按一下就可加入自己的Google Calendar。但安全企业卡巴斯基近日发现,有网络黑客利用了手机版的Google Calendar通知功能来发动网络钓鱼攻击,骗取用户信用卡号及重要个人信息。
卡巴斯基研究人员在五月间,发现数起利用手机版Google Calendar通知发送诈骗邮件的案例。在手机版Google Calendar上,经由Calendar和Gmail的集成,当有人发送此类会议通知,会驱动一个跳出式的Gmail通知出现在手机主页上,要求用户点击。在最新的攻击中,黑客在通知内容中加入钓鱼网站的连接,用户点击后即会被导向一个问卷调查网站,当用户填写完毕后即显示用户中奖,并要求用户填写信用卡号码及姓名、电话、住址等信息。不知情而填写的用户此时已被骗取个人信息。
卡巴斯基研究人员指出,这招“行程表诈骗”手法很有效,因为大部分用户已经对陌生人发送的电子邮件和短信有警戒心,但Calendar则前所未见,毕竟它是用来整理而非发送信息。卡巴斯基另外也指出,这种手法也助于黑客绕过Google的防护机制,因为它的垃圾邮件过滤引擎会避免把自家服务发送的通知当成垃圾邮件。此外,Google Calendar设计上,也较会接受陌生人发送的会议邀请。
好消息是,防范之道很简单。只要关闭自动将邀请加入Google Calendar的功能。在齿轮标示的菜单中的“活动设置”、点入“自动添加邀请”,选择“否,只显示我已经回复的邀请”。此外对于不确定是否安全的网站,也绝不输入个人信息。
事实上,Google服务之间的集成性已不是第一次被用于恶意用途。过去即曾有黑客冒充受害者友人发送Google Docs要求编辑文件的Gmail电子邮件,等用户按下邮件中“在Docs中打开文件”的连接后,即被导向恶意网站骗取Gmail帐密的事件。
卡巴斯基发现过,黑客利用Google集成服务的恶意行为,还包括Google Photos发送嵌入网络钓鱼URL或Email信箱的消息、以Google Forum诱使用户做假的问卷调查、或是对Google Analytics用户发送包含恶意URL的PDF文件等等。