Spam a través de Google Calendar engaña a usuarios y direcciona a sitios de pornografía

En el día de ayer a un colaborador del laboratorio de ESET Latinoamérica le apareció en el calendario de su teléfono varios eventos que hacían referencia a una invitación para retirar un iPhone Xs y un iPhone XsMax, donde el destinatario solo debía coordinar el envío. Como era de esperarse, se trata de un engaño que, por lo que hemos visto, está dando la vuelta al mundo intentando engañar a usuarios en una gran cantidad de países. A continuación, vemos de qué se trata y al final del post explicamos cómo evitar el spam en Google Calendar.

Una vez que el usuario abre la notificación del evento en su calendario puede ver que hay un enlace que supuestamente proporciona información acerca de la ubicación por donde retirar el tan preciado producto.

Imagen 1. Notificación a través del calendario con un mensaje indicando que está disponible para su retiro un iPhone XsMax y un enlace

Como toda técnica de ingeniería social que busca efectividad, es posible observar varios patrones en el mensaje que podrían indicarnos que se trata de un engaño. En primer lugar, una oferta de esas que son demasiado buenas para ser verdad, como es el regalo de un teléfono celular de alta gama. En segundo lugar, el mensaje hace referencia a la importancia de responder en una franja de tiempo para acceder a la misma (8 horas en este caso), buscando que el usuario desprevenido no dude o consulte por otras vías, y también busca esconder el dominio real a través de servicios de redireccionamiento con URL acortadas, el cual a simple vista parece ser un enlace creado con el acortador de enlaces de bitly, pero que si prestamos atención vemos que la URL dice en realidad “bilty”.

Luego de analizar los dominos por los que pasa la URL acortada (cinco saltos por distintos servicios de redireccionamiento) lo que se observa es que se busca llevar al usuario a distintas páginas de contenido pornográfico, de forma similar a una campaña de SPAM cuya intención es generar tráfico en sitios que pagan por sus referidos y así monetizar la acción.

Como se puede observar en la siguiente imagen, la particularidad de esta campaña de spam no es solo el hecho de que el evento haya aparecido de manera automática en el calendario, sino que además se publicó de forma periódica a lo largo de toda la semana.

Imagen 2. Spam en Google Calendar se programó como evento periódico para que aparezca como notificación al usuario durante toda la semana

En la Imagen 2 se puede observar también que las invitaciones fueron enviadas, en apariencia, por dos organizadores distintos; inclusive haciendo referencia a supuestos mails corporativos como googlemail, probablemente con la intención de darle mayor veracidad al engaño.

Spam a través de Google Calendar: una técnica que no es nueva

Si bien la técnica de enviar invitaciones a través de Google Calendar no es nueva (hace varios años comenzaron los primeros reportes alertando sobre este tipo de acciones en Google Calendar), esta semana observamos un incremente del spam a través de Google Calendar a nivel global, con reportes de esta misma campaña en países de Europa y Estados Unidos que buscan captar usuarios desprevenidos.

Cómo evitar el spam en Google Calendar

Para evitar ser víctima de este engaño y no recibir spam a través del calendario de tu cuenta de Google, el usuario deberá cambiar la configuración desde Google Calendar. Para eso, lo primero que deberá hacer es hacer clic en el botón de configuración en la parte superior derecha de la pantalla.

Imagen 3. El primer paso es hacer clic en la opción "configuración"

Imagen 4. El siguiente paso es hacer clic en "Configuración de los eventos "

Una vez aquí se deberá modificar las opciones dentro de "Añadir invitaciones de forma automática" y seleccionar la opción que dice “No, mostrar únicamente las invitaciones a las que he respondido”.

Imagen 5. Opciones de configuración dentro de "Configuración de los eventos".

Imagen 6. Seleccionar la última opción que evita que se añadan a nuestro calendario invitaciones de manera automática.

Para evitar confusiones, la recomendación es seleccionar la opción que indica que solo se mostrarán en el calendario las invitaciones a las cuales se haya respondido fehacientemente.

Algo a destacar de esta campaña que no busca robar información personal o instalar algún software malicioso en los dispositivos que ingresan al enlace, es que no alcanza con una solución de seguridad convencional.

La seguridad debe ser siempre entendida como un sistema en varias capas, donde por supuesto se debe contar con una solución robusta de seguridad que puedan alertar al usuario de sitios de dudosa reputación, o que se trata de sitios que buscan reemplazar sitios oficiales; inclusive en los dispositivos móviles, donde hoy en día tenemos tanta o más información sensible que en nuestra computadora.

Cabe recordar que el factor del usuario es un componente fundamental en la seguridad de la información, por lo que debemos recordar la importancia de estar actualizado e informado sobre las distintas tendencias en ataques informáticos. Para el caso de los menores que puedan sentirse tentados a una oferta de estas características, es recomendable instalar en sus dispositivos herramientas de control parental, tales como  ESET Parental Control, que permitirán al adulto responsable filtrar contenido por palabras clave y evitar que lleguen, por ejemplo, a sitios de pornografía pensando que están abriendo el enlace de una promoción sobre un nuevo celular.

Para mayor información sobre campañas de ingeniería social, recomendamos la siguiente lectura:

• Estafas por Internet: 8 señales que indican que eres un blanco fácil
• Guía para evitar engaños en Internet
• Google publicó test de phishing para que usuarios aprendan a reconocer correos fraudulentos
• 5 tipos de phishing en los que no debes caer