In der Geschäftswelt planen wir ständig Meetings. Einmalige Anrufe, wiederkehrende wöchentliche Meetings und vieles mehr. Das machen sich Cyber-Kriminelle zunutze, indem sie gefälschte Google Kalender-Benachrichtigungen verwenden, um User zum Klicken auf Phishing-Links zu verleiten.
Und so läuft das ab:
Die Angreifer senden einem Google Kalender-User eine täuschend echt aussehende Google Kalendereinladung, mit Informationen zu Besprechungsthema und -ort. In den Details des Termins befindet sich ein Link, der das Opfer anscheinend zurück zu meet.google.com führt, um weitere Informationen zu erhalten. Doch nach einem Klick auf den Link, wird das Endgerät des Users mit Malware infiziert.
Die Cyber-Kriminellen nutzen also Google-Kalendereinladungen, um den Posteingang eines Opfers zu erreichen und einen bösartigen Link zu liefern, der als „Meet [dot] google [dot} com“-Link getarnt ist. Diese raffinierte Phishing-Angriffsmethode nutzt die Glaubwürdigkeit von Google aus und tarnt den bösartigen Link als etwas Gutartiges und „Sicheres“, auf das das Opfer bedenkenlos klicken kann.
Neue Google-Funktion zur Verifikation von Einladungen
Google hat reagiert und eine neue Funktion hinzugefügt, welche ein Google-Kalender-Event erst automatisch dem Kalender hinzufügt, wenn die Event-Einladung durch den User beantwortet wurde. Zuvor hatten sich auch unbestätigte Events direkt in den Kalender eingetragen, womit das Risiko stieg, dass der User den Termin öffnet und auf einen der bösartigen Links in dessen Details klickt.
Unsere klare Empfehlung: Nutzen Sie diese neue Funktion, indem Sie die Standardeinstellung „Kalender-Einladungen automatisch akzeptieren“ im Google Kalender deaktivieren. So können Sie selbst feststellen, ob eine Google Kalender-Nachricht echt ist und entsprechend agieren.
Was trotz der neuen Funktion bleibt: Die User sind weiterhin der entscheidende Faktor dafür, ob der Angriff erfolgreich ist oder nicht. Hier kann eine gezielte Schulung helfen. Etwa unsere IT-Seal Awareness Academy. Durch das Security Awareness-Training lernen die User, Phishing E-Mails oder gefälschte Kalender-Einladungen sicher zu erkennen und zu melden.
Die Awareness Academy umfasst u.a. die patentierte Spear-Phishing-Engine von IT-Seal. Deren Phishing Simulationen geben Aufschluss darüber, wie es aktuell um das IT-Sicherheitsbewusstsein in Ihrem Unternehmen bestellt ist. Die Anwender:innen bekommen in unregelmäßigen Abständen täuschend echt aussehende Phishing-Mails zugesandt. Durch den Umgang mit diesen E-Mails, können wir uns ein Bild über den aktuellen Wissensstand der Anwender verschaffen (wird eine Mail geklickt oder nicht). Darauf aufbauend können wir einen Ziel-ESI® definieren, welcher für Ihr angestrebtes Sicherheitsniveau steht, das wir gemeinsam durch die Awareness Academy erreichen.
Wollen Sie mehr dazu erfahren, wie Sie Ihre Mitarbeiter:innen für Phishing sensibilisieren und sich so vor Cyber-Angriffen schützen können? Nehmen Sie Kontakt zu uns auf!
