Google Calendar es una herramienta para organizar agendas y administrar el tiempo, diseñada para ayudar a las personas y empresas a planificar su cotidianidad de manera eficiente. Según Calendly.com, Google Calendar es utilizado por más de 500 millones de personas y está disponible en 41 idiomas diferentes.
Debido a la popularidad y eficiencia de Google Calendar en las tareas diarias, no es de extrañar que se haya convertido en un objetivo para los cibercriminales. Recientemente, los investigadores de seguridad cibernética de Check Point han observado la manipulación cibernética de las herramientas de Google, en particular Google Calendar y Google Drawings. Muchos de los correos electrónicos parecen legítimos porque parecen originarse directamente de Google Calendar.
Los cibercriminales están modificando los encabezados de «remitente», haciendo que los correos electrónicos parezcan enviados a través de Google Calendar en nombre de un individuo conocido y legítimo. Aproximadamente 300 marcas se han visto afectadas por esta campaña hasta ahora, y los investigadores cibernéticos observaron 2.300 de estos correos electrónicos de phishing en un período de dos semanas.
Descripción general de la amenaza
Como se mencionó anteriormente, estos ataques de phishing inicialmente explotaron las características fáciles de usar inherentes a Google Calendar, con enlaces que conectaban a Formularios de Google.
Sin embargo, después de observar que las plataformas de seguridad podían detectar invitaciones maliciosas de Calendar, los cibercriminales desarrollaron el ataque para alinearlo con las capacidades de Google Drawings.
Motivos de los cibercriminales
En el centro de esta campaña, los cibercriminales apuntan a engañar a los usuarios para que hagan clic en enlaces o archivos adjuntos maliciosos. Después de que una persona divulga involuntariamente datos confidenciales, los detalles se utilizan para estafas financieras, donde los cibercriminales pueden participar en fraudes con tarjetas de crédito, transacciones no autorizadas o actividades ilícitas similares. La información robada también se puede utilizar para eludir las medidas de seguridad de otras cuentas, lo que conduce a una mayor vulneración.
Este tipo de estafas pueden resultar extremadamente estresantes, con efectos nocivos a largo plazo.
Técnicas de ejecución de ataques
Como se señaló anteriormente, los correos electrónicos iniciales incluyen un enlace o el archivo de calendario (.ics) con un enlace a Formularios de Google o Dibujos de Google.
Luego, se les pide a los usuarios que hagan clic en otro enlace, que a menudo está disfrazado como un reCAPTCHA falso o un botón de soporte.
Después de hacer clic en el enlace, el usuario es redirigido a una página que parece una página de aterrizaje de minería de criptomonedas o una página de soporte de bitcoin.
“Estas páginas están destinadas a perpetrar estafas financieras. Una vez que los usuarios llegan a dicha página, se les pide que completen un proceso de autenticación falso, ingresen información personal y, finalmente, proporcionen detalles de pago”, dijo Manuel Rodríguez, Gerente de Ingeniería en NOLA de Check Point.
El ataque de phishing que se muestra a continuación comenzó inicialmente con una invitación de Google Calendar. Algunos de los correos electrónicos parecen notificaciones de calendario, mientras que otros usan un formato personalizado.
Ejemplo de correo electrónico de ataque de phishing inicial: Si los invitados fueran contactos conocidos, un usuario podría creer la artimaña, ya que el resto de la pantalla parece relativamente normal:
Configuración de Google Calendar
Bloqueo de este ataque
Para las organizaciones que desean proteger a los usuarios de este tipo de amenazas de phishing y otras, se deben considerar las siguientes recomendaciones prácticas:
• Soluciones de seguridad de correo electrónico avanzadas. Soluciones como Harmony Email & Collaboration pueden detectar y bloquear de manera efectiva intentos de phishing sofisticados, incluso cuando manipulan plataformas confiables, como Google Calendar y Google Drawings.
Las soluciones de seguridad de correo electrónico de alto calibre incluyen escaneo de archivos adjuntos, verificaciones de reputación de URL y detección de anomalías impulsada por IA.
• Supervise el uso de aplicaciones de Google de terceros. Aproveche las herramientas de seguridad cibernética que pueden detectar y advertir específicamente a su organización sobre actividades sospechosas en aplicaciones de terceros.
• Implemente mecanismos de autenticación sólidos. Una de las acciones más importantes que pueden tomar los administradores de seguridad consiste en implementar la autenticación multifactor (MFA) en todas las cuentas comerciales.
Además, implemente herramientas de análisis de comportamiento que puedan detectar intentos de inicio de sesión inusuales o actividades sospechosas, incluida la navegación a sitios relacionados con criptomonedas.
En prevención se deben considerar las siguientes recomendaciones prácticas.
• Desconfíe de las invitaciones a eventos falsos. ¿La invitación tiene información inesperada o le solicita que complete pasos inusuales (es decir, CAPTCHA)? Si es así, evite participar.
• Examine cuidadosamente el contenido entrante. Piense antes de hacer clic. Pase el cursor sobre los enlaces y luego escriba la URL en Google con el fin de acceder al sitio web.
• Habilite la autenticación de dos factores. Para las cuentas de Google y otros repositorios de información confidencial, habilite la autenticación de dos factores (2FA). Si sus credenciales están en peligro, la 2FA puede evitar que los delincuentes accedan a una cuenta determinada.
Cuando se le pidió un comentario, Google afirmó: “Recomendamos a los usuarios habilitar la configuración de “remitentes conocidos” en Google Calendar. Esta configuración ayuda a protegerse contra este tipo de phishing al alertar al usuario cuando recibe una invitación de alguien que no está en su lista de contactos o con quien no ha interactuado desde su dirección de correo electrónico en el pasado.