Новая тактика киберпреступников: мошенничество через календарные приглашения
Современные мошенники находят все новые способы обойти системы фильтрации электронной почты, и одна из последних — использование доверенных инструментов, таких как календарные приглашения. Вместо распространения вредоносных ссылок или вирусных вложений, злоумышленники внедряют поддельные уведомления о платеже прямо в ваши календарь и используют его для обмана.
История реального случая: как мошенники почти меня обманули
Павел из Кейп-Корал, Флорида, поделился своим опытом: «Я — подписчик Microsoft 365 и недавно получал обычные письма о продлении подписки. Но через несколько дней в моем календаре появились встречи с уведомлениями о неудачной оплате — при этом я ни разу не открывал и не кликал по каким-либо ссылкам. Меня насторожило, что при попытке удалить эти события единственной опцией было «Удалить и отклонить», что могло бы вызвать ответ злоумышленнику. Я никогда раньше не сталкивался с подобным!»
Павел проверил статус своей подписки и воздержался от взаимодействия с подозрительными событиями — это был правильный шаг. Его случай — яркий пример того, как легко подобные мошеннические схемы могут пройти незамеченными. Ниже расскажем, как работает эта атака и что делать, если она появляется в вашем календаре.
Как работает мошенничество с календарными приглашениями
Фейковое уведомление о платеже
Мошенники создают ложные сообщения о необходимости оплаты или продлении подписки, которые выглядят как официальные уведомления от Microsoft 365. Иногда такие письма содержат прикрепленные HTML-файлы, имитирующие страницы оплаты, для сбора кредитных данных.
Инвазивные календарные приглашения
Злоумышленники используют файлы с расширением .ics, которые автоматически добавляются в ваш календарь. Если ваши настройки Outlook или Microsoft 365 позволяют автоматическое принятие приглашений, эти события появляются без вашего ведома. В результате, даже если вы не кликали по ссылкам, в календаре появляется тревожное уведомление.
Реалистичный внешний вид и давление времени
Заголовки вроде «Платеж не прошел» или «Аккаунт заблокирован» вызывают тревогу. В большинстве случаев даже просмотр события вызывает стресс или замешательство, а попытка его удалить может подтвердить активность вашего аккаунта для злоумышленников.
Использование поддельных доменов и скрытая угроза
Сообщения часто приходят с адресов, похожих на настоящие, но управляются взломанными сторонними доменами, такими как магазины или сервисы. Некоторые из них проходят базовые проверки безопасности, что усложняет их обнаружение.
Почему эта тактика так эффективна
Подмена происходит за счет уязвимостей в обработке календарных приглашений Microsoft 365. Даже если антивирус или фильтры блокируют вредоносные письма, связанные с ними события могут все равно отображаться в вашем календаре.
Обход традиционных фильтров электронной почты
Инструменты вроде Microsoft Defender сканируют входящие письма, но злоумышленники используют встроенные функции календаря, чтобы загрузить вредоносный контент напрямую. В результате, даже заблокированные письма оставляют след в вашем расписании.
Автоматический прием приглашений и доверие к интерфейсу
Если в настройках включена автоматическая добавка приглашений, фальшивое уведомление появляется мгновенно, создавая ощущение срочности и подлинности, особенно когда оно выглядит как сообщение от Microsoft.
Механизм доверия к внутренним инструментам
Поскольку приглашения появляются внутри приложений Microsoft 365 или Teams, пользователи склонны считать их легитимными, что существенно увеличивает вероятность обмана.
Что делать, если в календаре появилось подозрительное событие
Если вы заметили в календаре событие, которое не принимали и не создавали, лучше всего его игнорировать. Не кликайте по ссылкам, не скачивайте вложения и не отклоняйте приглашение. Даже реакция на него может подтвердить активность вашего аккаунта злоумышленникам.
Обработка в разных версиях Outlook
Рассмотрим универсальные рекомендации для всех популярных версий Outlook и Microsoft 365:
Новый Outlook (на десктопе или в браузере)
- Кнопка «Удалить без ответа» недоступна, поэтому рекомендуется использовать опцию «Игнорировать» из входящих сообщений — это переместит письмо в корзину и не отправит ответ.
- Если событие появилось в календаре, лучше оставить его и не удалять, чтобы не подтвердить его активность.
Классический Outlook для настольных ПК
- Здесь есть возможность удалить приглашение без уведомления отправителя, что идеально подходит для подозрительных событий.
Общие рекомендации по защите и профилактике
- Проверьте настройки автоматической обработки приглашений — сейчас новые версии Outlook позволяют ограничить автоматическое добавление событий, но полностью блокировать их невозможно.
- Для безопасной отправки жалоб на подозрительные приглашения используйте встроенные инструменты фишинга или отправляйте сообщения через защищенные каналы.
- Установите надежное антивирусное программное обеспечение, которое поможет обнаружить вредоносные ссылки и защитить ваши устройства.
- Используйте сервисы защиты личных данных, чтобы отслеживать утечки информации и предотвращать ее использование мошенниками.
Рекомендации по повышению уровня безопасности аккаунта
Если вы заметили необычную активность или подозрительные события, обязательно проведите проверку аккаунта. Также рекомендуется включить двухфакторную аутентификацию и регулярно менять пароли.
Что делать при обнаружении подозрительной активности
Если вы получили подозрительное приглашение, не взаимодействуйте с ним. Обратитесь в службу поддержки или используйте встроенные средства для сообщения о фишинге, избегая передачи вредоносных данных или уведомления злоумышленников.
Заключение
Мошенники активно используют уязвимости в системе календарей Microsoft 365, чтобы обмануть пользователей и получить доступ к их личным данным. Внимательность и осторожность — ваш лучший щит. Следите за настройками безопасности, избегайте взаимодействия с подозрительными событиями и регулярно проверяйте активность учетной записи.
Артем Мельник
Артем — эксперт по ИТ и новым технологиям, освещает стартапы, кибербезопасность и разработки украинских программистов. Ранее работал в сфере разработки ПО.