Utenti malintenzionati e criminali informatici utilizzano da anni, tra i tanti, uno stratagemma per trarre in inganno chi si serve di Google Calendar: inviano inviti contenenti link e informazioni che fanno riferimento a siti Web malevoli. Questo tipo di prassi fa leva sul fatto che gli inviti Google Calendar provenienti da altri soggetti vengono automaticamente aggiunti al contenuto del calendario.
Già dal 2019 Google stava cercando di mettere un freno allo spam e ai tentativi di phishing che tentano di sfruttare il suo calendario. Dopo due anni, a dicembre 2021, l’azienda di Mountain View ha finalmente aggiunto un’opzione che permette di aggiungere al calendario solo gli inviti accettati via email.
La voce Aggiungi inviti al mio calendario quando rispondo all’invito nell’email si trova nelle impostazioni di Google Calendar cliccando su Impostazioni evento nella colonna di sinistra.
Adesso Google informa circa l’aggiunta di una nuova opzione: in corrispondenza del menu a tendina Aggiungi inviti al mio calendario si trova adesso anche la voce Solo se il mittente è noto.
In questo modo è possibile far sì che gli inviti vengano automaticamente aggiunti nel calendario se e solo se provengono da una persona già conosciuta. Come fa Google a stabilirlo? Verificando se il mittente è un account creato sullo stesso dominio usato dall’utente, se è presente nell’elenco dei contatti o si tratta di un account con cui si è interagito in precedenza.
Per molti i messaggi di spam che utilizzano gli inviti di Google Calendar potrebbero sembrare un problema innocuo; in realtà vengono abitualmente utilizzati per reindirizzare gli obiettivi a pagine di destinazione di phishing tramite URL dannosi.
L’obiettivo finale di questi attacchi è raccogliere le credenziali delle vittime o infettare i loro dispositivi utilizzando malware progettato per rubare informazioni sensibili o distribuire ulteriori componenti dannosi.
Poiché Google Calendar è disponibile per tutte le piattaforme più popolari, le campagne di spam possono raggiungere un numero enorme di potenziali vittime. Basti pensare che soltanto l’app Google Calendar per Android è stata scaricata più di 1 miliardo di volte, come da statistica condivisa sul Play Store.