Článek přečtěte do 4 min.

Miliony profesionálů a malých firem se při organizaci pracovního dne spoléhají na Kalendář Google. Co když ale ta užitečná pozvánka do kalendáře nepřišla od kolegy, ale od podvodníka?

To je riziko, které se skrývá za rostoucí taktikou zvanou spoofing Kalendáře Google, kdy kyberzločinci rozesílají falešné pozvánky, které vypadají zcela normálně. Uvnitř se skrývají škodlivé odkazy, které mohou vést ke krádeži hesel, finančním podvodům nebo dokonce k úniku obchodních dat.

Jak fungují podvody s falešným přístupem k Kalendáři Google

Spoofing Kalendáře Google je phishingový podvod, při kterém útočníci rozesílají falešné pozvánky, které vypadají jako skutečné žádosti o schůzku. Tyto pozvánky často obsahují odkazy na služby Google, které se zdají být legitimní – například Formuláře nebo Nákresy – ale ve skutečnosti vedou na phishingové stránky určené k odcizení osobních nebo firemních údajů.

Zde je návod, jak funguje typický phishingový útok s využitím pozvánek z Kalendáře Google:

  • Krok 1: Falešná pozvánka se zobrazí automaticky

Ve výchozím nastavení Kalendář Google přidává pozvánky automaticky – i když jste si o ně nepožádali. Podvodníci tuto funkci zneužívají k vkládání škodlivých odkazů přímo do vašeho kalendáře a zcela přeskakují vaši doručenou poštu.

  • Krok 2: Pozvánka vypadá bezpečně a povědomě

Falešná pozvánka může vypadat, jako by přišla od někoho, komu důvěřujete, nebo se může vztahovat k něčemu běžnému – například k hovoru přes Zoom nebo k požadavku na podporu.

  • Krok 3: Kliknete na odkaz

V podrobnostech události je odkaz na něco, co vypadá normálně, například na Formulář Google, Kresbu nebo dokonce CAPTCHA. Tento odkaz ale vede na phishingovou webovou stránku.

  • Krok 4: Zadáte citlivé informace

Tyto phishingové stránky jsou navrženy tak, aby vypadaly přesvědčivě. Pokud zadáte své přihlašovací údaje, platební údaje nebo jiné citlivé údaje, útočníci je mohou ukrást a použít k přístupu k vašim firemním účtům nebo k spáchání podvodu.

  • Krok 5: Posílají následné zprávy

Někdy útočníci událost zruší, ale zanechají zprávu, která vám bude zaslána e-mailem. Tato zpráva může obsahovat další škodlivý odkaz – což jim dává druhou šanci vás oklamat.

Kalendář Google je vytvořen pro pohodlí. Je integrován do Gmailu, mobilních zařízení a týmových nástrojů, což znamená, že lidé jsou zvyklí klikat na pozvánky do kalendáře bez rozmýšlení. Podvodníci tohoto zvyku zneužívají.

Protože pozvánky pocházejí z „důvěryhodné“ platformy, jako je Google, často proklouznou spamovým filtrům. To usnadňuje phishingovým útokům jejich nalezení – a pro uživatele je hůře rozpoznatelné.

Přestože je Google kvůli svému širokému používání hlavním cílem, podobné podvody se mohou odehrávat i prostřednictvím jiných kalendářových nebo e-mailových služeb, které podporují pozvánky na akce nebo soubory .ics. Pokud útočník získá přístup k vašim systémům, může jít ještě dál – vydávat se za váš tým nebo získat přístup k soukromým obchodním datům.

Jak chránit svou firmu před phishingem v Kalendáři Google

Nemusíte přestat používat Kalendář Google, ale musíte ho zabezpečit.

Zde je návod:

1. Změna nastavení kalendáře

  1. Otevřete Kalendář Google.
  2. V pravém horním rohu klikněte na Nastavení.
  3. Vlevo v části „Obecné“ klikněte na Nastavení události a poté na „Přidat pozvánky do mého kalendáře“.
  4. Vyberte jednu z dostupných možností:
    1. „Od všech“ (upozorňujeme, že tato možnost může zvýšit pravděpodobnost doručení spamových pozvánek do kalendáře).
    1. „Pouze pokud je odesílatel známý“.
    1. „Když odpovím na pozvánku v e-mailu“.

Vyberte možnost „Pouze pokud je odesílatel známý“. Toto jednoduché nastavení může zablokovat mnoho nežádoucích spamů a phishingových pokusů.

2. Buďte skeptičtí k nevyžádaným pozvánkám

Pokud nepoznáváte odesílatele nebo se vám pozvánka zdá uspěchaná či naléhavá, na nic neklikejte. Před provedením akce zkontrolujte e-mail odesílatele a odkaz.

3. Neklikejte na podezřelé odkazy

Před kliknutím na odkazy v popisech událostí v kalendáři najeďte myší na odkaz. Pokud vám něco nepřipadá povědomé, vyhněte se tomu. Nestahujte přílohy, pokud neznáte odesílatele.

4. Povolte dvoufaktorové ověřování (2FA)

Zapněte si pro svůj účet Google 2FA. Tím přidáte další vrstvu ochrany – například kód zaslaný na váš telefon – i v případě, že vám heslo ukradnou.

5. Používejte silná a jedinečná hesla

Nepoužívejte hesla napříč účty opakovaně. Používejte složité, těžko uhodnutelné kombinace, které neobsahují osobní údaje, jako jsou jména nebo data narození.

6. Udržujte nastavení Google Workspace aktuální

Pravidelně kontrolujte nastavení zabezpečení – nejen v Kalendáři, ale i v Gmailu, Disku a dalších nástrojích. Pokud se podvodníci zaměří na jinou aplikaci Google, budete připraveni.

Buďte o krok napřed s Bitdefender Ultimate Small Business Security

Phishingové útoky se rychle vyvíjejí. Když Formuláře Google začaly spouštět varování, útočníci přešli na Kresby Google. Pokud je tato služba zablokována, mohou se přesunout na Dokumenty Google nebo Disk. Tyto podvody nezůstávají na jednom místě – řídí se vašimi zvyky a důvěrou.

A právě zde  přichází na řadu Bitdefender Ultimate Small Business Security.

Nabízí pokročilou ochranu před e-maily a phishingem, detekci podvodů v reálném čase a  ochranu digitální identity pro celý váš tým. Funkce jako  Scam Copilot umožňují zaměstnancům kontrolovat podezřelé zprávy nebo odkazy na místě – než bude příliš pozdě.

Ve světě, kde jediná pozvánka v kalendáři může vést ke katastrofě, má vícevrstvá ochrana zásadní význam. Pro majitele firem nejde jen o ochranu vlastního účtu. Jde o zabezpečení jejich týmu, dat a reputace.

Často kladené otázky

Proč dostávám spamové pozvánky do kalendáře?

Dostáváte spamové pozvánky, protože Kalendář Google může být nastaven tak, aby automaticky přidával události od kohokoli, kdo vám pošle pozvánku – dokonce i od lidí, které neznáte. Podvodníci toto nastavení zneužívají k umisťování phishingových odkazů přímo do vašeho kalendáře, aniž byste museli nejprve otevřít e-mail.

Co mám dělat, když dostanu pozvánku do kalendáře od neznámé osoby?

Neklikejte na žádné odkazy v pozvánce. Nejprve zkontrolujte e-mailovou adresu odesílatele. Pokud ho nepoznáváte, smažte pozvánku nebo změňte nastavení kalendáře tak, aby blokoval pozvánky od lidí, které neznáte. Vždy buďte opatrní – zejména pokud vás pozvánka žádá o okamžitou akci.

Mám odmítnout pozvánku do Kalendáře Google od neznámé osoby?

Je bezpečnější pozvánku smazat, než ji odmítnout. Odmítnutím se může odeslat odpověď a potvrdit, že je vaše e-mailová adresa aktivní, což může vést k většímu množství spamu. Místo toho upravte nastavení tak, aby události do kalendáře mohli přidávat pouze známí odesílatelé.

Zajímají vás produkty společnosti Bidefender? Pro více informací nás neváhejte kontaktovat.

Zdroj: Bitdefender