Penjenayah kini sedang menyamar sebagai emel Google Calendar dalam satu kempen penipuan phishing yang bermotifkan kewangan, yang telah mempengaruhi kira-kira 300 organisasi dengan lebih 4,000 emel dihantar dalam tempoh empat minggu, menurut penyelidik Check Point.
Para penipu ini mengubah tajuk emel yang dihantar supaya mesej kelihatan seperti jemputan Google Calendar yang sah dari seseorang yang dikenali oleh mangsa. Ini merupakan taktik yang berkesan, memandangkan lebih daripada 500 juta orang menggunakan Google Calendar.
Emel phishing biasanya mengandungi fail [.]ics dengan pautan ke Google Forms atau Google Drawings. Setelah mangsa mengklik pautan tersebut, mereka akan diminta untuk mengklik pautan lain yang biasanya disamarkan sebagai reCAPTCHA atau butang sokongan.
Ingat, pautan yang anda klik adalah palsu. Apabila mangsa mengklik pautan berbahaya ini, mereka akan dibawa ke laman yang kelihatan seperti laman sokongan cryptocurrency atau Bitcoin.
“Laman-laman ini sebenarnya bertujuan untuk menjalankan penipuan kewangan,” jelas pemburu ancaman dalam blog mengenai kempen phishing ini. “Setelah pengguna mencapai halaman ini, mereka diminta untuk melengkapi proses pengesahan yang palsu, memasukkan maklumat peribadi, dan akhirnya memberikan butiran pembayaran.”
Check Point telah menghubungi Google mengenai emel phishing ini, dan berikut adalah saranan daripada syarikat teknologi tersebut:
Google memberikan beberapa nasihat untuk melindungi diri daripada menjadi mangsa kempen phishing ini dan lain-lain, termasuk mengambil langkah berjaga-jaga ketika menerima jemputan acara dengan “langkah” atau permintaan yang “tidak dijangka” – seperti menyelesaikan teka-teki CAPTCHA.
Sentiasa “fikir sebelum klik.” Hover pada pautan dan taip URL ke Google daripada terus mengkliknya. Tujuan kebanyakan serangan phishing adalah untuk menipu pengguna mengklik pautan atau lampiran berbahaya, yang kemudiannya membolehkan penjenayah mencuri maklumat kelayakan dan mengakses dokumen sensitif, maklumat peribadi, atau akaun kewangan.
Selain itu, sentiasa aktifkan pengesahan dua langkah untuk akaun Google – atau mana-mana tempat yang menyimpan maklumat sensitif.
Tahun lalu sahaja, FBI menerima [PDF] 298,878 aduan daripada mangsa phishing dan/atau penyamaran, yang menyebabkan kerugian keseluruhan sebanyak $18,728,550.
Penting untuk diingat bahawa serangan social engineering jenis ini berkesan. Mereka mudah dilakukan oleh penjenayah dan memberikan pulangan lumayan untuk pelaburan mereka.
Walaupun Google Calendar mungkin menjadi umpan terbaru, penyerang sentiasa mencari cara lain untuk menarik mangsa. Jangan terpedaya! ®
