安基網 首頁 資訊 安全報 查看內容

黑客利用Google Calendar的邀請功能發動網釣攻擊

2019-6-14 09:09| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: Google的通知功能很方便,當雙方約定開會時,對方可以傳送Google Calendar會議通知到用戶Gmail郵箱,且只要單擊就可加入自己的Google Calendar。但安全業者卡巴斯基近日發現,有網絡黑客利用了手機版的Google Calendar通知功能來發動網釣攻擊,騙取用戶信用卡號及重要個人資料。卡巴斯基研究人員在五月 ...

Google的通知功能很方便,當雙方約定開會時,對方可以傳送Google Calendar會議通知到用戶Gmail郵箱,且只要單擊就可加入自己的Google Calendar。但安全業者卡巴斯基近日發現,有網絡黑客利用了手機版的Google Calendar通知功能來發動網釣攻擊,騙取用戶信用卡號及重要個人資料。

卡巴斯基研究人員在五月間,發現數起利用手機版Google Calendar通知傳送詐騙郵件的案例。在手機版Google Calendar上,經由Calendar和Gmail的整合,當有人傳送此類會議通知,會驅動一個跳出式的Gmail通知出現在手機主頁上,要求用戶點選。在最新的攻擊中,黑客在通知內容中加入釣魚網站的連結,用戶點擊后即會被導向一個問卷調查網站,當用戶填寫完畢后即顯示用戶中獎,并要求用戶填寫信用卡號碼及姓名、電話、住址等資訊。不知情而填寫的用戶此時已被騙取個人資料。

卡巴斯基研究人員指出,這招"日歷詐騙"手法很有效,因為大部份用戶已經對陌生人傳送的電子郵件和簡訊有警戒心,但Calendar則前所未見,畢竟它是用來整理而非傳送資訊。卡巴斯基另外也指出,這種手法也助于黑客繞過Google的防護機制,因為它的垃圾郵件過濾引擎會避免把自家服務傳送的通知當成垃圾郵件。此外,Google Calendar設計上,也較會接受陌生人傳送的會議邀請。

好消息是,防范之道很簡單。只要關閉自動將邀請加入Google Calendar的功能。在齒輪標示的選單中的"活動設定"、點入"自動新增邀請",選擇"否,只顯示我已經回復的邀請"。此外對于不確定是否安全的網站,也絕不輸入個人資料。

事實上,Google服務之間的整合性已不是第一次被用于惡意用途。過去即曾有黑客冒充受害者友人傳送Google Docs要求編輯文件的Gmail電子郵件,等用戶按下郵件中"在Docs中開啟文件"的連結后,即被導向惡意網站騙取Gmail帳密的事件。

卡巴斯基發現過,黑客利用Google整合服務的惡意行為,還包括Google Photos傳送嵌入網釣URL或Email郵箱的訊息、以Google Forum誘使用戶做假的問卷調查、或是對Google Analytics用戶傳送包含惡意URL的PDF檔案等等。

資料來源:iThome Security



小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.toutiao.com/i6702050160035234307/

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手

雷人

路過

雞蛋

相關閱讀

最新評論

 最新
返回頂部
云南快乐十分开奖结果前三