היזהרו – מתקפות Phishing דרך אפליקציות ה-Calendar של Google, Microsoft ו-Apple
כולם משתמשים באפליקציות יומן.
לפני כשנתיים, קבוצת חוקרים הראתה שניתן לבצע התקפות Phishing מתוחכמות, באמצעות קביעת פגישות פיקטיביות ביומן הנתקף, והפניה לאתרים זדוניים מהן.
התקיפה מתבצעת באופן פשוט ביותר – התוקף קובע פגישה עם הנתקף, דרך אפליקציית היומן ובוחר שלא לשלוח על כך אימייל לנתקף. ההזמנה לפגישה מתווספת אוטומטית ליומן הנתקף, והוא מקבל התרעה על הפגישה המתוכננת בסמארטפון שלו. בתיאור הפגישה, יש לינק לאתר זדוני. בגלל שמשתמשים בוטחים בהודעות המופיעות להם מהיומן בסמארטפון, ובגלל שההודעה מהונדסת כך שתיראה אמינה, משתמשים רבים יכולים ליפול בפח, וללחוץ על הלינק הזדוני.
באיחור של שנתיים, Google התייחסה בשבוע שעבר לנושא, ומאפשרת כעת לדווח על פגישות כאלה כספאם. כמו כן, Google הודיעה כי היא עובדת על תיקון אבטחה שיפתור את הבעיה.
איך תיזהרו?
- היו חשדנים תמיד להודעות הקופצות מהיומן שאינכם מכירים, והיו חשדניים עוד יותר אם יש לינק בתיאור האירוע, המפתה אתכם להיכנס אליו.
- אם כבר נכנסתם ללינק מסוג זה, לעולם אל תתנו בו פרטים אישיים, או תורידו קובץ למחשב/סמארטפון.
- אם אינכם מכירים את השולח – דווחו על ספאם.
משתמשי Google:
Google פרסמה דף עם המלצות איך להימנע משיטת תקיפה זו, דרך שינוי ההגדרות הרלוונטיות ב-Calendar – עשו זאת (שימו לב כי החוקרים הראו שגם את ההגדרות הללו ניתן לעקוף, אבל שינוי ההגדרות נותן שכבת הגנה בסיסית):
- פתחו את Google Calendar במחשב.
- לחצו על "הגדרות", ואז הגיעו ל"הגדרות אירועים".
- תחת "הוספה אוטומטית של הזמנות", שנו ל"לא, אני רוצה להציג רק הזמנות שהשבתי להן".
משתמשי Apple:
- היכנסו להגדרות היומן דרך iCloud באינטרנט.
- לחצו על "Prefrences" ואז על "Advanced".
- תחת "Invitations" לחצו על "Email to YOUREMAIL".
למידע נוסף, הכולל גם מידע למשתמשים ב-Calendar של Microsoft.
אנו ממליצים לכם לקרוא עוד על Phishing במדריך שלנו על קישורים מזיקים.
המשיכו לעקוב אחר האתר – אנו נעלה מדריך מפורט על Phishing, והסכנות הגלומות בו בתקופה הקרובה.
0 תגובות