Podawany jako grzeczne, biznesowe zaproszenie na spotkanie a w rzeczywistości precyzyjny phishing, którego celem jest kradzież danych. Analiza Push Security ujawnia kampanię, która udowadnia, że cyberprzestępcy nie muszą już tworzyć złożonych oszustw. Wystarczy narzędzie takie jak Calendly, markowe szablony e-maili i kilka sprytnych technik omijania zabezpieczeń.
O co chodzi w kampanii podszywającej się pod Calendly?
Push Security przeanalizowało rosnącą kampanię phishingową, która udaje wiadomości o zaproszeniu na spotkanie z Calendly. Cyberprzestępcy stosują bardzo podobny układ, wygląd i styl komunikacji, przez co wiadomości wyglądają niezwykle wiarygodnie.
Użytkownik otrzymuje:
- zaproszenie na spotkanie,
- informację, że ktoś chce się z nim skontaktować,
- przycisk, który wygląda dokładnie jak prawdziwy przycisk „Akceptuj”, „Zobacz szczegóły” lub „View Event”.
W rzeczywistości link prowadzi jednak:
- nie do Calendly,
- nie do usługi kalendarzowej,
- ale do strony phishingowej, która zbiera dane logowania.
Co ważne: treść maila jest na tyle neutralna i profesjonalna, że nie wzbudza najmniejszych podejrzeń. Wszystko wygląda jak typowy scenariusz biznesowy.
Dlaczego ta kampania jest tak skuteczna?
Push Security zauważa, że cyberprzestępcy wykorzystali kilka kluczowych taktyk, które idealnie trafiają w przyzwyczajenia użytkowników oraz luki w systemach bezpieczeństwa.
Imitacja dobrze znanego narzędzia biznesowego
Calendly jest wszechobecny w firmach. Wszyscy go znają. A skoro wiadomość wygląda dokładnie jak oryginał – wiele osób klika bez zastanowienia.
Brak podejrzanych załączników – więc filtry pocztowe ich nie blokują
Atak wykorzystuje:
- czysty tekst,
- profesjonalny branding,
- link ukryty pod przyciskiem.
Nie ma tu nic, co tradycyjne filtry antyspamowe uznałyby za złośliwe.
Wykorzystanie legalnych usług do ukrycia złośliwego linku
Często prawdziwy link jest zaszyty w:
- skracaczu linków,
- domenie, która wygląda poprawnie,
- pozornie bezpiecznej ścieżce URL.
Użytkownik widzi „ładny link”, ale dopiero po kliknięciu trafia na fałszywą stronę logowania.
Jak wygląda proces ataku krok po kroku?
Push Security opisało bardzo konkretne zachowanie użytkownika, które prowadzi do przejęcia danych.
Krok 1: Użytkownik otrzymuje maila o spotkaniu
Mail wygląda tak, jakby pochodził z Calendly i od osoby, którą rzeczywiście zna lub której się spodziewa.
Krok 2: Kliknięcie w przycisk
Nic nie wskazuje na zagrożenie – kliknięcie prowadzi do strony, która wygląda jak logowanie do Microsoft 365 lub Google.
Krok 3: Kradzież danych logowania
Strona jest fałszywa, ale wizualnie identyczna z prawdziwą.
Krok 4: Przejęcie konta
Po wpisaniu danych cyberprzestępcy natychmiast logują się na konto i ustawiają reguły przekierowań, po czym przejmują całą komunikację i mogą rozpocząć ataki wewnątrz organizacji.
Push Security zwraca uwagę, że to bardzo szybki łańcuch zdarzeń – od jednego kliknięcia do pełnego przejęcia konta.
Skutki dla zwykłych użytkowników
Dla przeciętnej osoby taki atak oznacza:
- utratę dostępu do konta e-mail,
- możliwość przejęcia kont bankowych i usług online,
- podszycie się pod użytkownika w komunikacji rodzinnej i zawodowej,
- możliwość wycieku wrażliwych danych, dokumentów, umów czy faktur.
Co ważne:
ataki na e-mail to często pierwszy krok do ataków finansowych – a te mogą dotknąć każdego, nie tylko specjalistów IT.
Skutki dla firm i MŚP
Push Security podkreśla, że kampania jest szczególnie groźna dla firm, bo przejęcie jednego konta otwiera drzwi do danych klientów, systemów księgowych, CRM, prywatnych dysków współdzielonych, poufnych dokumentów a często nawet narzędzi administracyjnych.
Co gorsza:
- fałszywe wiadomości mogą być wysyłane jako „kontynuacja rozmowy”,
- phishing może być rozprowadzany wewnątrz firmy,
- napastnik może podszywać się pod liderów działów lub księgowość.
Atak staje się wtedy wewnętrzny i bardzo trudny do wychwycenia.
Dla małych firm to często oznacza paraliż operacyjny – a nawet poważne straty finansowe.
Jak bronić się przed takim phishingiem?
Push Security nie podaje wymyślnych technik. Największy nacisk kładzie na:
Nawet najlepszy system nie pomoże, jeśli pracownik bezrefleksyjnie klika w każdy link.
Najważniejsze jest:
- weryfikowanie nadawcy,
- sprawdzanie, czy nazwa domeny jest prawidłowa,
- nieklikanie w linki z maili z zaskoczenia.
2. Ograniczanie uprawnień w firmie
Zasada najmniejszych uprawnień minimalizuje skutki ataku.
3. Monitorowanie logowań i zmian w skrzynkach pocztowych
Reguły przekierowań i nowe urządzenia są sygnałem alarmowym.
4. Wprowadzenie FIDO2 / passkeys, jeśli to możliwe
Push Security podkreśla, że phishing, który kradnie hasło, jest nieskuteczny wobec uwierzytelniania bezhasłowego.
5. Segregacja kont prywatnych i służbowych
Przejęcie konta prywatnego nie może otwierać drogi do zasobów firmowych.
Dlaczego ta kampania to sygnał ostrzegawczy dla całego rynku?
Push Security bardzo wyraźnie wskazuje, że to nie jest „kolejny phishing”.
To sygnał, że:
- cyberprzestępcy wykorzystują narzędzia dobrze znane użytkownikom,
- ataki nie muszą być techniczne – wystarczy dobra kopia maila,
- filtry pocztowe coraz częściej przegrywają z socjotechniką,
- użytkownicy są przeciążeni komunikacją i klikają automatycznie.
W praktyce oznacza to, że phishing staje się bardziej inteligentny niż kiedykolwiek wcześniej.
I nie trzeba do tego AI.
Wystarczy zrozumienie, jak wygląda codzienna praca użytkowników.
Podsumowanie
Ataki podszywające się pod Calendly pokazują, jak łatwo jest wykorzystać znane narzędzia do oszukania użytkowników. Kampania opisana przez Push Security działa, ponieważ jest wiarygodna, czysta technicznie, pozbawiona sygnałów ostrzegawczych i idealnie wpisana w codzienność pracy biurowej.
Dla zwykłego użytkownika oznacza to ryzyko przejęcia konta.
Dla firm – możliwość wycieku danych, paraliżu pracy i strat finansowych.
Najważniejsza lekcja z tego raportu jest prosta:
nie istnieją „zbyt zwyczajne” e-maile, by mogły być bezpieczne.
Ochrona zaczyna się od świadomości, a dobre nawyki są dziś równie ważne jak systemy bezpieczeństwa.
| Źródła |
|---|
|
|
