Attacco hacker su Google Calendar: attenzione agli inviti truffa

Gli hacker hanno trovato un nuovo modo per colpirti con il Calendario Google: inviti falsi con link che portano al furto di dati e malware. Scopri come proteggerti!

Gli hacker hanno trovato un nuovo modo per sfruttare le app collaborative di Google: inviare falsi inviti di Google Calendar con link fraudolenti.

In questo modo, convincono le vittime ignare a fare clic e condividere informazioni sensibili, con cui i cybercriminali possono accedere ai loro account o organizzare altre truffe più elaborate, come un furto di identità.

In questo articolo vediamo qual è l’ultimo attacco hacker che sfrutta il calendario Google, quali sono i problemi di sicurezza delle app Google e alcuni consigli per utilizzarli in modo sicuro. Buona lettura!

Il nuovo attacco sfrutta gli inviti del Calendario e l’aura di affidabilità di Google per indurre le vittime a fare clic su link fraudolenti o infetti da malware.

Nuovo problema dell’app Calendario Google

Google Calendar è l’app di calendario più utilizzata al mondo, un po’per la sua semplicità, un po’ perché si integra alla perfezione con molti altri programmi, ad esempio con i client di posta elettronica.

Per questo motivo, gli hacker cercano continuamente nuovi modi per sfruttarla, insieme alle altre app di collaborazione di Google, come Gmail, Drive e Meet.

L’ultima trovata dei cybercriminali è inviare falsi inviti di eventi tramite Calendar per convincere le vittime a fare clic su link fraudolenti, che reindirizzano a siti o moduli di phishing.

Vediamo in dettaglio come funziona l’attacco che sfrutta Google Calendar:

1. La vittima riceve una notifica di invito del Calendario nella propria casella di posta elettronica.
2. A seconda delle impostazioni, l’invito può anche essere aggiunto automaticamente al calendario.
3. La vittima apre il messaggio, legge i dettagli dell’invito e vede un link con diverse funzioni, ad esempio confermare la partecipazione a un evento, accedere a una videochiamata e altri pretesti simili.
4. La vittima fa clic sul link e viene indirizzata a un sito di phishing o alla pagina di un modulo, in cui le viene richiesto di fornire alcuni dati personali.
5. In alcuni casi, le viene chiesto direttamente di inserire le credenziali di accesso per autenticarsi, che vengono ovviamente rubate dai criminali che controllano la pagina.
6. Nei casi più gravi, il clic può anche avviare il download di un malware.
7. A questo punto, i dati della vittima rimangono esposti e raggiungono il truffatore, che li userà per violare i suoi account o soppiantarne l’identità per organizzare altri attacchi più sofisticati.

Molti attacchi di phishing funzionano in questo modo. Queste truffe sono efficaci perché sfruttano l’immagine e l’aura di affidabilità di Google, a causa delle quali le persone tendono a fare clic senza verificare fonte e messaggio.

LEGGI ANCHE: Phishing, vediamo un caso reale

I problemi delle app Google: quanto sono sicure?

In generale, le app Google sono tra le più sicure che esistono, perché vengono controllate e aggiornate frequentemente. Allo stesso tempo, però, proprio a causa della loro diffusione massiccia in tutto il mondo, sono tra quelle più prese di mira dagli hacker.

Vediamo quali sono i problemi di sicurezza più comuni delle app Google:

• Condivisione involontaria di dati sensibili: gli utenti possono condividere file pubblicamente per errore, rendendoli accessibili a chiunque abbia il link. Una gestione sbagliata o poco attenta delle autorizzazioni può portare ad esposizione e fughe di dati.
• Accesso non autorizzato e account compromessi: l’Account Google è particolarmente critico, perché la violazione consente l’accesso a moltissimi file e dati, sia personali che aziendali. Il problema di solito continua a essere dovuto all’uso di password deboli o riutilizzate.
• Uso incrociato di account personali e aziendali. Per comodità, molte persone utilizzano il proprio Account Google personale anche sul lavoro, ad esempio per caricare un file su Drive o Fogli. Un’eventuale violazione dell’account può causare l’esposizione di informazioni professionali e consentire l’accesso alla rete dell’azienda.
• Malware e phishing con Google Docs. Documenti e fogli di calcolo online vengono utilizzati per diffondere link malevoli, inducendo gli utenti a condividere dati o scaricare malware. Gli attaccanti creano pagine fasulle che simulano pagine di login, moduli o addirittura sondaggi per rubare le credenziali.
• Mancanza di crittografia end-to-end: come molti altri servizi simili, i dati nei servizi Google vengono crittografati solo lato server. Per condividere file o informazioni particolarmente importanti, è consigliabile usare uno strumento di crittografia end-to-end di terze parti o un software specifico per la condivisione di file.
• Vulnerabilità interne: come tutte le applicazioni software, anche le app di collaborazione di Google possono avere delle falle di sicurezza, che possono essere sfruttate per inoculare malware o accedere ai sistemi. Fortunatamente, Google controlla e aggiorna spesso i propri software, per cui basta aggiornare regolarmente le app Google per approfittare di tutte le nuove patch e aggiornamenti di sicurezza.

Come vedi, anche le app Google sono esposte ad alcuni problemi di sicurezza, e i nuovi attacchi che prendono di mira Calendar ne sono l’ennesima dimostrazione. Questo però non significa che non siano sicure o che devi smettere di utilizzarle. La cosa importante è usarle in modo corretto e sicuro.

Le app Google sono tra le più sicure al mondo, ma anche tra le più bersagliate dagli hacker, a causa della loro diffusione.

Consigli di sicurezza per le app Google

Per proteggerti dagli attacchi hacker che prendono di mira le app Google, tra cui il Calendario, ci sono varie cose che puoi fare:

• Attiva l’autenticazione a 2 fattori, preferibilmente con l’app Authenticator o con codici biometrici, piuttosto che con i codici monouso inviati tramite SMS (che presto verranno sostituiti dai codici QR).
• Non mescolare account e dispositivi personali e aziendali.
• Aggiorna periodicamente tutti i software e i sistemi operativi, nonché l’antivirus, per proteggerti dalle minacce emergenti.
• Ogni tanto, esegui il controllo di sicurezza del tuo Account Google, per ricevere consigli personalizzati e indicazioni per proteggerlo al meglio.
• Controlla le autorizzazioni di condivisione di account, cartelle e file. Se fai parte di un’organizzazione, ricordati di modificarle in base a come cambia il personale, ad esempio rimuovi le autorizzazioni delle persone che non lavorano più con te.
• Sempre all’erta contro il phishing. È il nemico pubblico numero 1, questo lo sappiamo, e sappiamo anche che può colpire chiunque, non solo le grandi aziende. Per questo motivo, è importantissimo fare attenzione a messaggi ed email sconosciute e, soprattutto, mai fare clic su link e allegati minimamente sospetti!
• Backup regolari. Per proteggere i tuoi file e i tuoi dati, soprattutto da perdite accidentali e ransomware, esegui regolarmente un backup del computer e dei dati che hai nel cloud, quindi anche dello spazio di archiviazione di Drive.

In questo articolo abbiamo visto il nuovo attacco che sfrutta Google Calendar per inviare link di phishing o infetti da malware. Abbiamo parlato della sicurezza delle app Google e abbiamo condiviso alcuni consigli per usarle in modo più sicuro.

Per concludere, ti invitiamo a provare Panda Dome, la nostra suite di cybersicurezza, completa di antivirus, VPN e password manager.

E tu, hai mai avuto problemi con il Calendario o altre app di Google? Raccontacelo nei commenti!

CONTINUA A LEGGERE: Generazioni a confronto: chi è più vulnerabile online

Buona navigazione e buon utilizzo sicuro di Google Calendar!