گوگل میگوید «با پشتکار» در حال کار روی برطرف کردن یک اشکال عمده نرمافزاری است که به هکرها اجازه میدهد از طریق دعوتنامههای ناخواسته ایمیلی، به تقویم گوگل (Google Calander) کاربران دسترسی یابند.
این اشکال امنیتی به مجرمان سایبری اجازه میدهد از یک تنظیم پیشفرض که دعوتها را از طریق ایمیل به صورت خودکار به تقویم افراد اضافه میکند، بهرهبرداری کنند.
دعوتهای ناخواسته بهعنوان یک اعلان در اپلیکیشن تقویم گوگل ظاهر میشود که با کلیک روی آن، کاربران به صفحاتی برده میشوند که شبیه صفحههای رسمی هستند و اطلاعات شخصی و مالی آنها را جویا میشوند.
گوگل در صفحه خدمات کمکی تقویم خود نوشته است: «ما از اشکالی که در تقویم رخ داده است باخبریم و با پشتکار، برای حل این مسئله تلاش میکنیم».
«به محض در دست داشتن اطلاعات بیشتر، در همین جا آن را به اشتراک میگذاریم. از صبوری شما سپاسگزاریم».
گوگل جزئیاتی را در مورد اقداماتی که افراد باید هنگام مشاهده دعوت یا رویدادی مشکوک انجام دهند، در اختیار آنها گذاشته است.
گوگل به دریافت کنندهها توصیه میکند که این رویدادها را بهعنوان «اسپم» گزارش دهند که در این صورت، تمامی رویدادهایی که از این سازماندهنده خاص دریافت میشود، از تقویم کاربر حذف خواهد شد.
حدود ۱.۵ میلیارد نفر در ۱۴۳ کشور دنیا از «جی میل» گوگل و اپلیکیشن تقویم استفاده میکنند که دراختیار تمام کسانی که حساب گوگل دارند، قرار میگیرد.
این دعوتنامههای مخرب جعلی، نخستین بار توسط پژوهشگران امنیتی در سال ۲۰۱۷ شناسایی شدند، اما گوگل تازه سراغ این مشکل رفته است.
شرکت امنیت اطلاعات بلک هیلز (Black Hills Information Security) دو سال پیش جزئیاتی را در مورد این کدهای مخرب در پست بلاگی مفصلی ارائه داد و شرح داد که چطور میتوان کنترلهای امنیتیای را که برای پیشگیری از چنین حملاتی طراحی شدهاند، بهراحتی دور زد.
این شرکت امنیت سایبری در بررسی این اشکال به این نتیجه رسید که برای ایجاد یک رویداد در تقویم اشخاص، حتی نیاز به ارسال ایمیل نیست.
زمانی که در تقویم گوگل رویدادی ایجاد میشود، میتوان هنگام فرستادن دعوتنامهها به مهمانان رویداد، گزینه «نفرست» (Don’t Send) را انتخاب کرد.
پژوهشگران اشاره میکنند که این گزینه به صورت خاص به درد هکرها میخورد، چرا که کاربران از دریافت لینکهای مخرب و اسپم در ایمیلهای خود بهستوه آمدهاند.
دریافت دعوتنامههای رسمی از طریق تقویم گوگل، کمتر شک برانگیز است.
در این پست بلاگ آمده است: «احتمالا جالبترین جنبه تقویم این است که حسی از ضرورت را از طریق جلب توجه کاربر به چیزی برمیانگیزد. شاید کاربر کاملا فراموش کرده باشد جلسهای دارد».
لینکهای داخل رویداد یا اعلان رویداد، قربانی را به صفحه جعلی «راستیآزمایی گوگل» میبرد و اطلاعات آنها را میگیرد.
این نوشته برگردان فارسی از مقالات منتشر شده دیگری است و منعکس کننده دیدگاه سردبیری روزنامه ایندیپندنت فارسی نمی باشد.
© The Independent
