Google的通知功能很方便，当双方约定开会时，对方可以传送Google Calendar会议通知到用户Gmail邮箱，且只要单击就可加入自己的Google Calendar。但安全业者卡巴斯基近日发现，有网络黑客利用了手机版的Google Calendar通知功能来发动网钓攻击，骗取用户信用卡号及重要个人资料。

卡巴斯基研究人员在五月间，发现数起利用手机版Google Calendar通知传送诈骗邮件的案例。在手机版Google Calendar上，经由Calendar和Gmail的整合，当有人传送此类会议通知，会驱动一个跳出式的Gmail通知出现在手机主页上，要求用户点选。在最新的攻击中，黑客在通知内容中加入钓鱼网站的连结，用户点击后即会被导向一个问卷调查网站，当用户填写完毕后即显示用户中奖，并要求用户填写信用卡号码及姓名、电话、住址等资讯。不知情而填写的用户此时已被骗取个人资料。

卡巴斯基研究人员指出，这招"日历诈骗"手法很有效，因为大部份用户已经对陌生人传送的电子邮件和简讯有警戒心，但Calendar则前所未见，毕竟它是用来整理而非传送资讯。卡巴斯基另外也指出，这种手法也助于黑客绕过Google的防护机制，因为它的垃圾邮件过滤引擎会避免把自家服务传送的通知当成垃圾邮件。此外，Google Calendar设计上，也较会接受陌生人传送的会议邀请。

好消息是，防范之道很简单。只要关闭自动将邀请加入Google Calendar的功能。在齿轮标示的选单中的"活动设定"、点入"自动新增邀请"，选择"否，只显示我已经回复的邀请"。此外对于不确定是否安全的网站，也绝不输入个人资料。

事实上，Google服务之间的整合性已不是第一次被用于恶意用途。过去即曾有黑客冒充受害者友人传送Google Docs要求编辑文件的Gmail电子邮件，等用户按下邮件中"在Docs中开启文件"的连结后，即被导向恶意网站骗取Gmail帐密的事件。

卡巴斯基发现过，黑客利用Google整合服务的恶意行为，还包括Google Photos传送嵌入网钓URL或Email邮箱的讯息、以Google Forum诱使用户做假的问卷调查、或是对Google Analytics用户传送包含恶意URL的PDF档案等等。

资料来源：iThome Security