カスペルスキーは6月18日、Kasperskyの研究者がGoogleカレンダーに不正かつ一方的に送られてきた通知を表示して、 標的にしたユーザーから個人情報を引き出そうとする高度な詐欺を2019年5月に複数発見したと伝えた。 この手口は 「カレンダーフィッシング」と呼ばれる。
攻撃者は、スマートフォンでGmailを利用しているユーザーが使っているカレンダーの招待を自動で追加して通知する標準の機能を悪用していたという。
具体的には、攻撃者がフィッシングサイトへのリンクが記載されたカレンダーの予定への招待を一方的に送信すると、 受信者のスマートフォンのホーム画面に予定への招待を知らせるポップアップ通知が現れ、 リンクのクリックを勧めるメッセージが表示される。
-
Googleカレンダーに表示された不正な通知の例 資料:カスペルスキー
同社が検知した大半のサンプルで、 受信者がリンクをクリックすると、 賞金が用意されたアンケートサイトにリダイレクトされていたという。 その賞金を受けとるために、 受信者はクレジットカードの詳しい情報のほか、 名前や電話番号、 住所などの個人情報の入力を、 権利の確定に必要な手数料として求められる。入力したデータは攻撃者に送られ、 金銭やさらなる個人情報の窃取に悪用されることになる。
このカレンダーフィッシングへの対策としては、 カレンダーへ自動的に招待を追加する機能をオフにするとともに、リンクをクリックして表示されたWebサイトが、 本物かつ安全かわからない場合は個人情報を入力しないことが推奨される。
