V polovině června tohoto roku zveřejnila společnost Kaspersky Lab informace o novém způsobu phishingu, zneužívajícím pozvánky Kalendáře Google. Čtvrt roku se zdánlivě nic nedělo a teprve tento týden se objevily informace, podle kterých Google pracuje na nápravě.
Jádro problému tkví v tom, jak kalendářová služba zpracovává pozvánky. Pokud chce uživatel pozvat někoho dalšího například na schůzku, přidá ho k události jako hosta. Tomuto uživateli je následně odeslán e-mail s pozvánkou a ve výchozím stavu je tato událost automaticky přidána do kalendáře.
Pozvánkový spam
Tuto vlastnost začali zneužívat útočníci, kteří obětem rozesílaly pozvánky, obsahující například odkazy na různé škodlivé stránky či malware. E-maily sice většinou „padaly“ do složky s nevyžádanou poštou, událost se však (jako nepotvrzená) přidala do kalendáře.
Pokud uživatel používal Kalendář Google na svém mobilním telefonu, zobrazilo se mu v určitém čase před začátkem události upozornění, které obsahovalo zmíněné škodlivé odkazy. Ty ho mohly zavést na stránky s malwarem či jiným škodlivým obsahem. Útočníci často událost definovali jako opakovanou, takže se notifikace zobrazovala třeba každý den.
Teprve v úterý 3. září se Google oficiálně vyjádřil k tomuto problému na stránkách podpory. Uvádí: „Jsme si vědomi spamu v Kalendáři a intenzivně pracujeme na vyřešení tohoto problému. Jakmile budou k dispozici další informace, zveřejníme je v rámci tohoto vlákna.“ Žádné další podrobnosti, jako je třeba předpokládaný termín vydání opravy, vývojáři neuvedli.
Bránit se můžete už teď
Pokud nechcete čekat na to, až Google vyřeší problém s phishingovými pozvánkami ve svém Kalendáři, můžete se bránit i sami. Stačí zakázat automatické přidávání pozvánek, takže se události, které jste neschválili, nebudou zobrazovat.
- Otevřete Kalendář Google.
- Klepněte na ozubené kolečko v horní liště a přejděte do Nastavení.
- V levé postranní nabídce přejděte do sekce Nastavení události.
- V rozbalovací nabídce Přidávat pozvánky automaticky zvolte možnost Ne, zobrazovat jen pozvánky s mou odpovědí.
- Pokračujte do sekce Události z Gmailu.
- Deaktivujte volbu Automaticky přidávat události z Gmailu do mého kalendáře.
Tímto způsobem alespoň do vydání oficiální opravy zajistíte, že se v Kalendáři Google bez vašeho vědomí neobjeví žádné události, které jste osobně neschválili. Toto opatření sice není ideální, protože omezuje užitečnou funkci, ale s ohledem na rostoucí četnost phishingových útoků je to vcelku praktické řešení.