Google 日曆是許多人用來管理安排行程的重要工具,不知道你有沒有發現,有時候 Google 日曆會幫你自動建立一個行程,甚至是一個週期性的行程,打開記錄時竟是你看也看不懂的文字及內容,但你卻在行程活動的邀請名單中。這個問題可能影響的不是你一個人,如果你的某個特定的行事曆是與其他人共用的,當這個行程出現時會一併顯示在其他共用人的行事曆中,不僅會帶來困擾,更有可能會造成資安的問題。
以下我們將說明二種常見的攻擊方式,以及防堵的方法。這可是茶米自己的切身之痛啊,用我的淚水所換來的經驗喔,大家一定要參考看看喔!
Gmail活動設定的影響
如果你藉由線上訂房、訂車票、買演唱會的門票時,經由 Gmail 收到這行程的確認信時,因為 Google 日曆預設會掃瞄 Gmail 信件的內容,並且將這個行程自動的加到 Google 日曆中。乍聽之下,這是個多麼貼心的設計啊!但是這卻隱含了一個問題,如果這個所謂的確認信是有人偽裝的,將一個莫名奇妙的行程寄到你的 Gmail 之中時,而 Google 日曆又沒有設定好,直接就將Gmail中的這個行程加到你的行事曆中,這是多麼可怕的一件事啊!
活動自動邀請設定的影響
另一個就更可怕了,在今年五月,知名的防毒軟體卡巴斯基研究人員發現了幾個網路詐騙的案例,是駭客利用 Google 行事曆的活動邀請功能,將不知名的活動會議邀請傳送給許多 Gmail 的使用者,而 Google 日曆也會貼心的將信件中的邀請加到行事曆中,而在邀請的信函中會加入釣魚網站的網址,也就一併加入了,讓不知情的使用者在不知不覺中上當。
為什麼這個攻擊方式很可怕?
其實我們一般收到信件時,已經很習慣去判斷信件內容是不是廣告,是不是詐騙,對於電子郵件、簡訊等管道所傳遞的資訊都有一定戒心。但是這個以 「Google 行事曆」進行的詐騙手法卻聞所未聞,讓許多人遇到時都不知原因,也找不出漏洞。尤其是共用行事曆的散佈能力會影響的不是一個人,可能是一個群體、一個公司,所以不可不注意喔!
防治漏洞的設定方法
其實要防堵這個漏洞的方式也很簡單,請依下述步驟進行設定:
- 進入Google日曆,按右上角的 齒輪圖示 > 設定。
- 左方選擇 一般 > 活動設定,在右方將 自動新增邀請 設定為 不,只顯示我已回覆的邀請。
- 左方選擇 一般 > Gmail中的活動,在右方取消 自動將Gmail中的活動加入我的日曆。
如此就設定完畢了喔!是不是很簡單?
今日遇到一个booking网站订单自动显示于google日历,被我取消未曾造成影响,但如果没有看到取消,则很可能形成信用卡自动扣费,我在联系booking的同时疑惑为何会有自己没有预定过的订单,发现此文章,十分感谢,我已经给google日历发送反馈,希望改进默认选项。再次感谢此文章,让我茅塞顿开被预订的原因,谢谢!