Gli esperti di Kaspersky hanno realizzato una nuova indagine per studiare il modo in cui i cybercriminali si servono dei servizi come Google Calendar (ma non solo) per mettere in atto le ennesime truffe online.

In particolare, i ricercatori hanno avuto modo di rilevare un gran numero di casi di una sofisticata truffa che ha preso di mira gli utenti servendosi di notifiche fraudolente e indesiderate di Google Calendar, portandoli in questo modo a fornire le proprie informazioni personali. Gli attacchi presi in esame dagli esperti di Kaspersky sono stati realizzati nel mese di maggio. Questo particolare genere di truffa si serve di una funzione specifica del servizio gratuito del calendario la quale consente di aggiungere, in modo automatico, inviti ed eventi ai calendari degli utenti.

Lo spam e il phishing mediante vettori di attacco “non convenzionali”, si sottolinea nello studio, sono potenzialmente molto redditizi per i cybercriminali, dal momento che potrebbero cogliere alla sprovvista anche degli utenti esperti che magari non sono soliti cadere nelle trappole più comuni. È proprio questo il caso di un tipo di truffa che viene denominato “calendar phishing“: nel mese di maggio non pochi utenti si sono trovati di fronte a notifiche pop-up non desiderate del calendario che sono risultate essere il risultato di una sofisticata truffa attraverso e-mail inviate da impostori. Questo genere di e-mail sfrutta una funzionalità di base utilizzata non di rado dalle persone sui propri smartphone, vale a dire quella che permette di aggiunta automatica e le notifiche di inviti sul calendario. La truffa si verifica nel momento in cui l’autore manda un invito non richiesto con un link a una URL di phishing: una notifica pop-up dell’invito appare nella schermata
home dello smartphone e il destinatario viene contestualmente invitato a cliccare sul link.

Nella maggior parte dei casi osservati dai ricercatori di Kaspersky l’utente viene indirizzato a un sito che include un semplice questionario con in palio una vincita in denaro dove, per poter ricevere il premio, viene richiesto all’utente stesso di perfezionare il pagamento e, di conseguenza, di inserire i dettagli della propria carta di credito insieme ad alcune informazioni personali come il nome, il numero di telefono e l’indirizzo. I dati raccolti in questo modo finiscono nelle mani dei truffatori che poi se ne servono per rubare denaro o informazioni sull’identità della persona.

A proposito di questo particolare genere di truffa di recente diffusosi rapidamente Maria Vergelis, security researcher di Kaspersky, ha commentato:

«La “truffa del calendario” è uno schema davvero efficace, poiché le persone sono più o meno abituate a ricevere messaggi spam via e-mail o messenger e a non fidarsi immediatamente. Ma potrebbe non essere così quando si parla dell’app Calendario, la cui funzione principale è quella di organizzare le informazioni piuttosto che trasferirle. Fino a ora, l’esempio che abbiamo visto contiene un messaggio che illustra un’offerta indubbiamente strana ma, come succede, ogni schema semplice diventa sempre più elaborato e ingannevole con il passare del tempo. La buona notizia è che non c’è bisogno di precauzioni sofisticate per evitare tale truffa: la funziona che la permette può essere facilmente disattivata dalle impostazioni del calendario».

Lo studio si conclude con i classici ma sempre validi consigli dei ricercatori di Kaspersky agli utenti per evitare di finire vittime di spam malevolo, ovvero:

  • Disattivare l’aggiunta automatica di inviti al vostro calendario: per fare ciò, aprire Google Calendar, cliccare sull’icona a rotellina delle impostazioni, poi su Impostazioni Eventi. Alla voce “Aggiungi automaticamente gli inviti”, cliccare sul menu a tendina e selezionare “No, mostra solo gli inviti a cui ho risposto”. Sotto, nella sezione Mostra Opzioni, fare in modo che “Mostra eventi rifiutati” NON sia spuntato, a meno che non li si voglia vedere.
  •  Se non si è certi che il sito a cui si è indirizzati sia vero e sicuro, non inserire mai informazioni
    personali.
  • Usare sistemi di sicurezza che vi offrano una protezione completa da diverse minacce.

Per maggiori informazioni sugli altri servizi popolarissimi servizi di Google che i cybercriminali sfruttano per mettere in atto delle truffe, date un’occhiata allo studio completo di Kaspersky a questo link.