Een recente phishingaanval maakt misbruik van Google Calendar-uitnodigingen en Google Drawings-pagina’s om inloggegevens te stelen en spamfilters te omzeilen. Onderzoekers van Check Point volgen deze aanval nauwlettend en hebben vastgesteld dat de daders in vier weken meer dan 4.000 e-mails hebben verstuurd, gericht op 300 merken.
Volgens Check Point richt de aanval zich op een breed scala aan organisaties, waaronder onderwijsinstellingen, gezondheidsdiensten, bouwbedrijven en banken. De tactiek begint met de verspreiding van ogenschijnlijk onschuldige uitnodigingen via Google Calendar. Deze uitnodigingen lijken legitiem, vooral wanneer bekende namen als genodigden verschijnen.
Phishingaanval
In deze uitnodigingen is vaak een link opgenomen die leidt naar Google Forms of Google Drawings. Daar worden slachtoffers aangespoord om op een andere link te klikken, die vaak vermomd is als een reCaptcha of een ondersteuningsknop. Hierdoor lijkt de actie betrouwbaar, terwijl het in werkelijkheid een poging is om inloggegevens te verkrijgen.
De onderzoekers benadrukken dat het gebruik van Google Calendar een slimme zet is van de aanvallers. Doordat de uitnodigingen via een legitieme Google-dienst worden verstuurd, slagen ze erin spamfilters te omzeilen. “De headers van de e-mails zijn volledig legitiem en niet te onderscheiden van gewone Google Calendar-uitnodigingen,” aldus Check Point. Deze headers doorstaan controles zoals DKIM, SPF en DMARC, wat ervoor zorgt dat de e-mails in de inbox van de slachtoffers terechtkomen.
Google Drawings-link
De aanvallers gaan soms nog een stap verder door de Google Calendar-afspraken te annuleren en een bericht naar de genodigden te sturen. Dit bericht kan opnieuw een link bevatten, zoals een Google Drawings-link, om slachtoffers naar phishingpagina’s te leiden. Hoewel Google al eerder maatregelen heeft genomen om dit soort aanvallen te blokkeren, blijven gebruikers kwetsbaar als beheerders van Google Workspace de bescherming niet inschakelen. Check Point adviseert gebruikers om voorzichtig te zijn met onverwachte uitnodigingen en geen links te openen zonder de afzender te verifiëren.