Hace ya varios meses expliqué por CyberBrainers cómo funcionaba una campaña de spam, a mi ojo, la mar de creativa.
Básicamente, utilizaba el modelo de factura de PayPal para enviar a la víctima una supuesta factura a coste 0, en cuyo cuerpo del mensaje, estaba el texto de spam, que te animaba a contratar los servicios de una supuesta agencia de marketing.
El tema, y he aquí lo revolucionario de la idea, es que al enviar una factura, aunque sea a coste 0, el receptor recibe un correo de la propia PayPal alertándole de que ha recibido una factura, y claro, todo el mundo iría a ver de qué se trata.
Que es cierto que luego, al ver que huele a spam de lejos, pues la mayoría pasarán. Pero oye, al menos ya has conseguido tanto que el usuario abra el email, como que incluso entre en la página, aunque sea la del intermediario (PayPal).
De hecho probablemente haya un porcentaje significativo de potenciales víctimas que le darán al botón grande azulado para ir a la página de esta supuesta agencia, aunque sea seducidos por tal artimaña.
Pues bien, esto solo es un ejemplo de las técnicas que utilizan los cibercriminales, y aquellos que no lo son pero están cerca de serlo, para hacer llegar su contenido a terceros. Aunque estos no hayan dado su consentimiento, ni estén interesados en ello, oye.
Otra muy habitual es utilizar el sistema de Google Calendar para enviar spam o fraudes online, y precisamente de ello quería hablar en esta pieza.
Índice de contenido
Cómo funcionan las campañas de spam y phishing vía Google Calendar
Básicamente el funcionamiento es parecido al caso anterior.
En este, en vez de utilizar el sistema de facturación de PayPal, se utiliza el sistema de agendar citas de Google, de forma que la víctima recibe un email de Google (y una notificación si tenemos Google Calendar activo en el móvil) alertándole de que ha sido invitado a una cita/reunión tal día a tal hora por no se quién, añadiéndose por defecto a nuestro calendario.
Si clicamos en ella, muy probablemente nos demos cuenta de que se trata de un timo o simplemente de publicidad engañosa, al utilizar los campos de asunto, dirección y descripción para ofrecernos ese producto o servicio que nos va a cambiar la vida.
El problema es que a veces no solo recibes una invitación, sino varias, y de forma constante en el tiempo, de manera que acaban colapsando tu calendario, y robándote tiempo que tienes que destinar en ir uno a uno a cada evento diciendo que no vas a asistir.
Como además lo envían desde cuentas de correo distintas, tampoco puedes bloquearles. Así que ya te puedes hacer una idea del problema que puede conllevar.
De hecho, pueden mediante este simple ataque llegar a realizar un DDoS en toda regla, evitando por ejemplo que un directivo pueda utilizar su Google Calendar de forma normal al ser constantemente bombardeado con nuevas peticiones.
Esto lleva siendo así años, y tras múltiples quejas, recientemente Google ha hecho de tripas corazón y ha incluido una funcionalidad que elimina dicha posibilidad de un plumazo.
Por aquí te cuento cómo puedes activarla. Algo que te va a robar apenas un minuto, y que gracias a ello ya no serás víctima de un ataque de este tipo.
Cómo evitar los ataques de spam y phishing que usan Google Calendar como vector
Para evitar el spam en Google Calendar, simplemente tendremos que:
- Acceder a la web de Google Calendar (ES).
- En la esquina superior derecha pulsar sobre el engranaje de opciones, y en el desplegable pulsar en Configuración.
- En la barra de opciones de la parte izquierda, pulsar en Configuración de los eventos.
- Buscar la opción Añadir invitaciones a mi calendario.
- Seleccionar la opción Solo si el remitente es conocido.
Gracias a ello, seguiremos recibiendo la invitación al correo, pero no se nos sincronizará con nuestro calendario automáticamente. Al menos, hasta que confirmemos asistencia.
Por lo que, en la práctica, el principal problema de este tipo de ataques se evita.
Una guía fácil, sencilla, y para todos los públicos sobre cómo evitar el spam en Calendar.
Ala, un artículo rápido, útil y fresco para estos días :).
Qué hacer para evitar ser víctima de fraudes
- 3 elementos que delatan a las campañas de phishing o fraude por email
- Qué hacer en caso de haber sido víctima de un fraude
- Cómo recuperar el dinero que nos han robado
- Cómo nos protegemos de los fraudes en Internet
- Cómo saber si esa persona con la que chateamos es quien dice ser
- El papel de los muleros en el cibercrimen
- Así de fácil es caer en una campaña de phishing
Otros fraudes que deberías conocer
- El día que ligué con una capitana del US Army (fraude de la novia rusa)
- Cómo estafaron a mi pareja con un producto vendido en Instagram
- Cómo funciona el timo basado en la extorsión para no divulgar contenido de índole sexual/pornográfico
- Cómo funcionan los fraudes basados en SMSs Premium
- Cómo funciona el timo de: «Tengo fotos tuyas, paga o difundo»
- Cómo funcionan los fraudes de descarga de libros o películas GRATIS
- Cómo estafaron a mi madre con un producto vendido por Wallapop
- Cómo funciona el robo de cuentas de WhatsApp y para qué se utiliza
- Cómo funciona la estafa del pellet
- Cómo funciona el fraude que se hace pasar por una notificación de la DEHÚ
- Qué tipos de fraude por Wallapop existen
- Cómo me intentaron estafar con el alquiler de un piso
- Cómo funcionan los fraudes por Facebook
- Cómo funciona el timo de la compra de fotos o arte NFT
- Cómo me estafaron 400 euros con un producto vendido en Amazon
- Cómo funcionan los fraudes basados en iCloud
- Cómo funciona la estafa del chulo y las prostitutas
- Cómo funciona el fraude de BlaBlaCar
- Cómo funcionan las estafas de criptomonedas de tipo Rug Pull
- Cómo funciona el fraude del viejo contacto
- Cómo funcionan los fraudes dirigidos a creadores de contenido
- Cómo funciona el fraude del incumplimiento de copyright con imágenes
- Cómo saber si ese producto de Apple que estás comprando es verdadero o falso
Imagínate recibir en tu correo semanalmente historias como esta
Suscríbete ahora a «Las 7 de la Semana», la newsletter sobre Nuevas Tecnologías y Seguridad de la Información. Cada lunes a las 7AM horario español un resumen con todo lo importante de estos últimos días.