Los delincuentes se han dado cuenta de que pueden aprovechar la configuración de calendario para plantar sus propios eventos con enlaces de phishing. En muchos casos, esto también desencadena notificaciones automáticamente, legitimando aún más los eventos maliciosos. La estafa es particularmente efectiva porque las entradas y notificaciones del calendario provienen de aplicaciones confiables como Google Calendar.
El ataque proviene simplemente de los estafadores que envían una ola de invitaciones a eventos de calendario a los usuarios de Google Calendar. El objetivo es aprovechar una configuración predeterminada de que los calendarios agregan automáticamente cualquier evento y envían una notificación al respecto. Entonces, los estafadores precargan el texto de la entrada del evento con un enlace de phishing y una línea corta para atraer a los objetivos a hacer clic.
En general se observan enlaces a encuestas falsas con descripciones de eventos breves como “Recibió una recompensa en efectivo” o “Ganaste un premio”. La idea, por supuesto, es hacer que las víctimas hagan clic y luego ingresen información personal en el formulario malicioso. A veces, los formularios engañan a los objetivos para que ingresen la información de la tarjeta de crédito al pedirles que envíen una pequeña cantidad de dinero para ingresar y ganar una suma mucho mayor.
Para realizar este ataque, los estafadores usan una lista de correo electrónico preparada para enviar sus invitaciones fraudulentas y pueden establecer recordatorios para entregar el mismo mensaje muchas veces hasta que se haga clic en el enlace deseado o se elimine la invitación. Este método de entrega es bastante nuevo y está creciendo.
Los phishers podrían usar la misma estrategia de eventos de calendario para impulsar todos los diferentes tipos de enlaces de phishing, quizás haciéndose pasar por un formulario de planificación de eventos.
Los usuarios de Google Calendar también pueden protegerse contra estas invitaciones no deseadas de la siguiente manera:
- Abrir la configuración de Google Calendar en un navegador;
- Ir a Configuración de los eventos – Añadir invitaciones de forma automática
- Seleccionar la opción “No, solo mostrar las invitaciones a las que he respondido”.
- En Opciones – “Mostrar eventos rechazados” esté desmarcado, para que los eventos maliciosos no lo persigan incluso después de rechazarlos.
El phishing de calendario son especialmente perniciosos, porque surgen inesperadamente en el contexto de un utilitario muy confiable.