Технологии
Никита Лихачёв

Спам через календарь с пуш-уведомлениями на смартфон. Как устроен обман и можно ли заблокировать мошенников

За годы существования лазейки её не закрыли до конца ни Google, ни Apple.

Спам — вечная проблема интернета. Но одно дело письма, которые падают во входящий ящик и тревожат только тем, что умудряются пробиваться через фильтр и засорять его. Другое — спам, который приходит на смартфон пуш-уведомлением и даже занимает весь экран блокировки.

Так работает спам через календари: мошенники находят почтовые адреса в слитых базах, рассылают по ним письма с приглашениями в календари, и по умолчанию пользователь получает уведомление — а значит эффективность спама вырастает в разы. И хотя этот метод работает уже не первый год, его до сих пор не удалось победить — а с начала 2019 года он стал массово использоваться по отношению к пользователям почты и календаря Google. Проблему можно решить локально, хотя и не без ущерба для функциональности календаря.

Зачатки календарного спама: iCloud

В 2016 году календарный спам массово проявил себя среди пользователей iCloud. Работал он следующим образом: злоумышленники посылают специальным образом сформированное письмо, которое iCloud распознаёт как приглашение на мероприятие. Из входящих письмо удаляется, зато преобразуется в приглашение — и пользователь получает уведомление о новом событии, на которое можно отреагировать только тремя способами: «Да», «Нет», «Может быть».

Проблема в том, что при выборе любой из этих опций спамеру отправлялось автоматическое сообщение о принятом решении, и фактически пользователь проявлял себя как живой. Для спамеров это ценная информация: они рассылают миллионы писем по базам, не имея точной информации об актуальности этих адресов, а за счёт метода с календарём они имеют возможность их актуализировать — и рассылать больше различного спама живым пользователям (или пытаться украсть их средства другими методами).

Проблема существовала не только в приглашениях в календари, но и в совместные фотопотоки. Когда Apple добавила возможность делиться фотографиями, отправляя приглашение в общую «папку» на адрес почты, её тоже оприходовали спамеры. Правда, не так эффективно: в отличие от писем и календарей, в фотографиях нет ссылок, которые можно нажать, и перевести пользователей на внешний сайт, через который крадутся деньги.

Тогда в качестве компромиссного решения предлагалось отключить отправку пуш-уведомлений о приглашениях и оставить их только в качестве писем — но от них нельзя было отказаться полностью. К 30 ноября 2016 года, когда количество жалоб на форумах зашкаливало, Apple извинилась и заявила, что работает над решением проблемы. Все крупные СМИ — The Verge, Wall Street Journal, New York Times — тогда пестрили инструкциями, которые фактически сводились к отключению уведомлений и удалению текущих приглашений.

Других заявлений от Apple так и не последовало, но по форуму Apple Communities можно наблюдать, что активности в темах про спам в календарях iCloud нет более двух лет. Вероятно, компании всё же удалось найти решение проблемы, которое остановило поток спама — при этом не заставляя пользователей искать и применять какие-либо инструкции.

Новая волна спама — через календари Google

Пользователи сервисов Google — лакомый объект для спамеров. Их гораздо больше, чем владельцев аккаунта на iCloud, и только активных устройств на базе Android — порядка 2,5 миллиардов, а ведь сервисами Google пользуются и на других платформах.

В случае с Android календарный спам работает особо эффективно: с почти 100% вероятностью пользователь такого смартфона залогинен в свой аккаунт Google и вряд ли менял настройки по умолчанию, а значит при получении письма он увидит его уведомление прямо на экране смартфона. Такой спам может проникнуть и на iOS/macOS, если пользователь ввёл аккаунт своей почты в систему и включил синхронизацию календарей.

Я испытал такой спам на себе — как на iOS, так и на Android. В случае с айфоном уведомления из календаря оказываются более назойливыми, чем обычные: они не исчезают с экрана автоматически, их приходится закрывать. Но в случае с Android (а конкретно с Samsung Galaxy Note) всё ещё плачевнее: приглашения попадают на экран блокировки и занимают всю его площадь, так что их невозможно не заметить.

Эпидемия спама действительно массовая: жалобы можно наблюдать с начала 2019 года, но они резко возобновились в августе. Технологические издания периодически выпускают инструкции по противодействию мошенникам, однако на уровне Google проблема так и не решается.

Мы запросили комментарий представителей Google по ситуации — и вот что они ответили.

Условия предоставления услуг Google и политика в отношении продуктов запрещают распространение вредоносного контента, и мы усердно работаем над тем, чтобы предотвратить злоупотребления и предупредить их. Борьба со спамом — это бесконечная битва, и, хотя мы добились большого прогресса, иногда спам проходит.

Мы по-прежнему глубоко привержены защите всех наших пользователей от спама: мы сканируем контент на фотографиях на предмет спама и предоставляем пользователям возможность сообщать о спаме в календаре, Google Формах, на Google Диске, в Google Фото, и в Hangouts. Кроме того, мы предлагаем пользователям средства защиты, предупреждая их об известных вредоносных URL-адресах с помощью фильтров безопасного просмотра Google Chrome». Более подробную информацию о способах защиты своих аккаунтов можно узнать в Центре безопасности Google.

пресс-служба Google

Фактически в Google подтвердили, что знают о проблеме спама, но не могут ничего с ней сделать. Однако это не совсем так.

Пользователь форумов поддержки Google Антон Булычев подробно расписал три составляющих современной проблемы календарного спама:

  • События в календаре Google могут создаваться через получение писем, в том числе тех, которые попали в папку «Спам»;
  • Их могут создавать вредоносные приложения для Android, у которых есть доступ к календарю;
  • Спамеры могут отправлять приглашения через интерфейс календаря, и их нельзя будет отличить от реальных.

По его мнению, две из трёх составляющих можно решить довольно просто: не позволять создавать события из писем, попавших в «Спам», а вредоносным или потенциально спамным приложениям отключать права на доступ к календарю. Но третью составляющую можно решить только новой функциональностью — возможностью ограничить список пользователей, которые могут отправлять приглашения на события, по списку контактов или домену организации. Однако Google таких изменений так и не ввела.

Что можно сделать со спамом прямо сейчас: инструкции для Google/Android, Apple/iOS и Microsoft/Windows

В данный момент особенно актуальна проблема со спамом через календарь Google, но может сохраняться и в случае с календарями iCloud: 13 августа Apple опубликовала у себя на сайте справку о требуемых от пользователя мерах.

Все описанные меры довольно сложны для рядового пользователя: нужных настроек нет в мобильных приложениях или их десктопных версиях. Сервисы нужно обязательно открывать через веб-версию с компьютера, что не всегда возможно и далеко не очевидно.

Как отключить спам в Google Календаре

  • Перейти в настройки в веб-версии Google Календаря;
  • В разделе «Общие» найти вкладку «Мероприятия», а справа — выпадающее меню «Автоматически добавлять новые приглашения» и выбрать в нём пункт «Нет, показывать только приглашения, на которые уже отправлен ответ»;
  • В том же разделе «Общие» найти вкладку «Мероприятия из Gmail» и снять галочку напротив пункта «Автоматически добавлять мероприятия из Gmail в мой календарь».

Важно: так отключится не только спам, но и автоматически добавляемые события на основе данных из писем во входящих — например, даты рейсов или бронирования гостиниц.

  • В разделе «Уведомления о мероприятиях» удалить настройку «Уведомление» или «Письмо на почту».
  • Даже всех перечисленных мер может оказаться недостаточно, поэтому в итоге всё решит антиспам-алгоритм Google. Чтобы помочь ему тренироваться, приглашения можно помечать как спам — но сделать это можно только в веб-версии календаря.

Как отключить спам в календаре iCloud

  • Вероятной причиной спама в календаре на iOS/macOS может оказаться синхронизация календаря (или нескольких) из аккаунта Google. Чтобы проверить это, нужно нажать на одно из подозрительных событий и посмотреть, какому календарю оно принадлежит, а затем разобраться с этим календарём по инструкции выше;
  • Возможно, спам вызван одним из установленных приложений. Чтобы проверить список тех, кто может оказаться под подозрением, нужно зайти в приложение «Настройки», выбрать «Конфиденциальность» и далее «Календарь», а затем отключить доступ для тех приложений, кто потенциально может создавать проблему;
  • Уведомления о приглашениях в календарь можно отключить целиком. Для этого нужно зайти в веб-версию iCloud (под логином Apple ID, который используется на айфоне или другом устройстве), открыть в ней приложение календаря, нажать на шестерёнку в левом нижнем углу и в «Настройках» выбрать вкладку «Дополнительные», внизу которой переключить «Встроенные уведомления» на «Сообщения email». Это значит, что приглашения по-прежнему будут приходить, но не в виде пуш-уведомлений, а лишь в виде писем;
  • Чтобы удалить все спамные приглашения без отправки реакции спамерам (и подтверждения актуальности аккаунта), рекомендуется создать отдельный календарь (это можно сделать как на iOS, так и в десктопном приложении) и переместить весь спам туда, а затем удалить этот календарь. Если просто удалить отдельные события, спамер будет оповещён.
  • Сама Apple рекомендует удалять подобные нежелательные приглашения через веб-версию iCloud, помечая их как спам (однако последовать этому совету, имея лишь один айфон под рукой, невозможно). В этом случае они будут автоматически удалены со всех устройств и, кроме того, обучат алгоритмы компании лучше бороться с подобным в будущем.

Как отключить спам в Microsoft Outlook

  • Поскольку Outlook — почтовый клиент, совмещённый с календарём, в него тоже может попадать спам через приглашения. Отключить автоматические добавление событий можно в настройках веб-версии Outlook: нужно нажать шестерёнку в правом верхнем углу, внизу выбрать «Просмотреть все параметры Outlook», в появившемся окне выбрать вкладку «Календарь», «События из сообщений», а дальше выбрать «Не показывать» у каждого типа событий.

Стоит превентивно проделать описанные действия на устройствах родственников и близких

В самом спаме, который массово рассылается по пользователям в России с начала 2019 года, ничего оригинального нет. Сообщения устроены шаблонным образом: заголовок события обычно выглядит как сообщение о полученном переводе крупной суммы денег, а ссылка внутри ведёт якобы на сайт, где его можно получить.

На таких внешних сайтах может использоваться две тактики: например, запугивание блокировкой счёта в случае неполучения перевода, или наоборот, задабривание возможностью крупного выигрыша при совершении несложных действий вроде прохождения опроса. Содержимое сайтов далеко не всегда напрямую связано с текстом уведомлений в календаре.

Чтобы получить «перевод» или «выигрыш», от пользователя просят «подтвердить свою надёжность» и, например, «заплатить небольшую комиссию» — так у него вымогают номер банковской карты и её CVV-код. Все сайты очевидно фейковые, вплоть до муляжей, однако используют разные приёмы вроде привязки суммы платежа к IP-адресу пользователя или искусственные паузы между этапами опроса, которые создают ощущение обсчёта данных на стороне «сервиса».

В целом мошенники используют приём посула лёгкой наживы — когда пользователю кажется, что вот-вот он получит полторы сотни тысяч рублей, для него платёж в 250 рублей выглядит как ничтожная трата, и даже если он ничего не получит, он не так уж много потеряет. Но это только на первый взгляд: естественно, получив данные карты, мошенники снимают с неё все доступные средства, а не только то, что написано на фейковом сайте.

Для фишинговых сайтов мошенники используют домены в зоне .top — например, soc-viplata19.top или vozv-rat1.top. При проверке данных доменов по Whois видно, что они зарегистрированы недавно, летом 2019 года, а других данных о их владельце регистратор не выдаёт. Кроме того, такие домены очень дёшевы: некоторые регистраторы продают их за 1,7 доллара, так что при разделегировании за мошенничество или при попадании под спам-алгоритмы всегда можно закупить новые. В приглашениях в календари почти везде можно использовать richtext-вёрстку, которая позволяет поставить ссылку на слово, поэтому для пользователя смартфона она имеет вид чего-то знакомого — например, yandex.ru.

Иногда на подобных сайтах можно встретить «службу поддержки» — ссылку на аккаунт во «ВКонтакте», который решает проблемы с переводами. Возможно, он создан для выпуска пара тех, кто так и не получил «выигрыша» и чьи деньги с карты украли. Например, на нескольких таких сайтах TJ нашёл упоминание Елены Шевченко: её профиль во «ВКонтакте» ведётся как минимум с 2017 года, но все комментарии и личные сообщения для не-друзей закрыты. В друзьях у неё находится 1,5 тысячи человек, в подписчиках — ещё 2,4 тысячи, а в закреплённом посте на странице она обещает «помочь решить возникшие проблемы» с выплатами.

Все эти приёмы направлены на излишне доверчивых пользователей — но и рассылка ведётся по огромным базам почтовых адресов, среди которых велик процент таких не самых искушённых в информационной безопасности людей. Вероятность, что пожилые люди (особенно с Android-устройствами) не смогут пройти мимо такого уведомления, доверятся неизвестному сайту и потеряют деньги, достаточно велика — поэтому имеет смысл потратить время и помочь им превентивно защититься от такого спама, если они ещё его не получили.

#инструкции #спам #apple #google