La nueva estafa con Google Calendar que roba contraseñas y el acceso al homebanking

Una nueva y sofisticada estafa que utiliza Google Calendar comenzó a circular esta semana. Según denuncias de usuarios en redes sociales, luego confirmadas por especialistas en ciberseguridad, los atacantes envían invitaciones para eventos falsos con el objetivo de engañar a los usuarios y robarles datos bancarios y contraseñas.

Los emails con citas de calendario incluyen enlaces que al hacer click en ellos llevan a las víctimas a webs fraudulentas y páginas diseñadas para imitar sitios legítimos que capturan información privada y credenciales que permiten a los ciberdelincuentes ingresar a los homebanking de las víctimas.

La campaña consiste en diseñar con Google Forms y Google Drawings encabezados de correos electrónicos para que parezcan notificaciones legítimas de Google Calendar, ya que de esa manera la estafa resulta más difícil de detectar por las soluciones de seguridad tradicionales.

Cómo funciona la estafa de Google Calendar

En concreto, los atacantes envían emails con invitaciones de Google Calendar que parecen auténticas citas para aceptar y agregar al calendario. Estos correos tienen enlaces disfrazados como botones o formularios que redirigen a páginas fraudulentas y similares a páginas legítimas.

Estas webs engañosas, que simulan plataformas de compraventa, bancos, empresas de servicios, etc., piden a los usuarios que ingresen sus datos, nombres de usuario y contraseñas, o credenciales bancarias y números de tarjetas de crédito.

Consejos para evitar la estafa de Google Calendar

Para evitar caer en esta trampa, se recomienda:

• En la configuración de tu Calendario, habilitá la opción para permitir solo invitaciones de remitentes conocidos y revisá los permisos de aplicaciones conectadas. Además, desactivá el acceso a aplicaciones desconocidas o innecesarias para evitar que creen eventos sin tu autorización. Encontrarás estas opciones en Privacidad Administrador de permisos Calendario.
• Ocultá calendarios sospechosos: en menú en la esquina superior izquierda de Google Calendar tendrás la opción de desmarcar calendarios que no reconozcas. Esto eliminará eventos no deseados de tu vista principal.
• No accedas a eventos o enlaces que no reconozcas y desconfiá de invitaciones de desconocidos 
• Antes de hacer click en un enlace verificá siempre su URL (al posarte encima del link, verás la dirección a la que te lleva en la esquina inferior izquierda de tu pantalla)
• Antes de ingresar cualquier información personal, asegúrate de que el sitio web sea legítimo y el oficial de la empresa u organismo en cuestión.
• No compartas información sensible: evitá proporcionar datos personales en páginas no verificadas o desconocidas.
• Activá la autenticación multifactor (MFA) o verificación de dos pasos (2FA) en todas las aplicaciones que lo permitan (homebanking, WhatsApp, billeteras digitales, etc.). Incluso si tus credenciales son robadas, los atacantes necesitarán una capa adicional de autenticación para acceder.

TN