Diamo valore alla tua privacy

Utilizziamo i cookie per migliorare la tua esperienza di navigazione e analizzare il traffico in modo anonimo per scopi statistici interni. Cliccando “Accetta tutti”, acconsenti all'uso dei cookie.

Personalizza le preferenze di consenso

Utilizziamo i cookie per aiutarti a navigare in maniera efficiente e a svolgere determinate funzioni. Troverai informazioni dettagliate su tutti i cookie sotto ogni categoria di consensi sottostanti. I cookie categorizzatati come “Necessari” vengono memorizzati sul tuo browser in quanto essenziali per consentire le funzionalità di base del sito.... 

Sempre attivi

I cookie necessari sono fondamentali per le funzioni di base del sito Web e il sito Web non funzionerà nel modo previsto senza di essi. Questi cookie non memorizzano dati identificativi personali.

  • Cookie
    cookieyes-consent
  • Durata
    1 anno
  • descrizione

    CookieYes imposta questo cookie per ricordare le preferenze di consenso degli utenti in modo che le loro preferenze siano rispettate nelle visite successive a questo sito. Non raccoglie o memorizza alcuna informazione personale sui visitatori del sito.

  • Cookie
    _GRECAPTCHA
  • Durata
    180 giorni
  • descrizione
    Questo cookie è utilizzato dal servizio Google reCAPTCHA per proteggere il sito da spam e abusi, distinguendo tra utenti reali e bot. Esegue un'analisi del rischio raccogliendo informazioni sul comportamento di navigazione e sul dispositivo, come movimenti del mouse, sequenze di tasti e dettagli tecnici.

I cookie funzionali aiutano a svolgere determinate funzionalità come la condivisione del contenuto del sito Web su piattaforme di social media, la raccolta di feedback e altre funzionalità di terze parti.

  • Cookie
    language
  • Durata
    1 anno
  • descrizione
    Questo cookie viene utilizzato per memorizzare la preferenza linguistica dell'utente.
  • Cookie
    post_viewed_
  • Durata
    1 ora
  • descrizione

    Questo cookie impedisce che una singola visita ad un articolo venga conteggiata più volte all'aggiornamento della pagina.

I cookie analitici vengono utilizzati per comprendere come i visitatori interagiscono con il sito Web. Questi cookie aiutano a fornire informazioni sulle metriche di numero di visitatori, frequenza di rimbalzo, fonte di traffico, ecc.

  • Cookie
    _ga_*
  • Durata
    1 anno 1 mese 4 giorni
  • descrizione

    Google Analytics imposta questo cookies per contare i visitatori della pagina

  • Cookie
    _ga
  • Durata
    1 anno 1 mese 4 giorni
  • descrizione

    Google Analytics imposta questo cookie per calcolare i dati di visitatori, sessioni e campagne e tracciare l'utilizzo del sito per il report analitico del sito. Il cookie memorizza le informazioni in modo anonimo e assegna un numero generato casualmente per riconoscere i visitatori unici.

I cookie per le prestazioni vengono utilizzati per comprendere e analizzare gli indici di prestazione chiave del sito Web che aiutano a fornire ai visitatori un'esperienza utente migliore.

Nessun cookie da visualizzare.

I cookie pubblicitari vengono utilizzati per fornire ai visitatori annunci pubblicitari personalizzati in base alle pagine visitate in precedenza e per analizzare l'efficacia della campagna pubblicitaria.

Nessun cookie da visualizzare.

Guide

Calendario Google sotto attacco: il nuovo trucco degli hacker per rubarti i dati

Falsi inviti, link truffaldini e furti d’identità: ecco come funziona il nuovo attacco hacker e cosa puoi fare per difenderti

Calendario Google

9 Maggio 2025

Indice dei contenuti

  • Il nuovo volto del phishing: finti eventi su Google Calendar
  • Perché proprio Google Calendar?
  • I punti deboli delle app Google
  • Come proteggerti dagli attacchi su Google Calendar

Il nuovo volto del phishing: finti eventi su Google Calendar

Il phishing continua a evolversi, e l’ultima trovata dei cybercriminali è tanto subdola quanto efficace: sfruttano la fiducia che gli utenti ripongono in Google Calendar per inviare inviti falsi contenenti link fraudolenti.

Il meccanismo è semplice. Immagina di ricevere una notifica sullo smartphone o una mail automatica che ti informa di un nuovo evento nel tuo calendario, ad esempio:

“Colloquio conoscitivo – clicca qui per confermare la tua presenza”
“Pagamento in sospeso – controlla i dettagli”
“Videoconferenza Zoom per aggiornamento urgente – unisciti ora”

Il messaggio sembra normale, quasi banale. Ma il link inserito conduce a una pagina di phishing, dove ti viene richiesto di inserire dati personali, credenziali di accesso Google o addirittura informazioni bancarie. A volte, il semplice clic avvia il download automatico di un malware che infetta il tuo dispositivo.

Esempio 1: l’invito alla videoconferenza

Una vittima riceve un invito con oggetto “Briefing urgente con il team – oggi ore 15:00” e un link per partecipare a una riunione su Meet. Il link però non porta a Google Meet, ma a un sito molto simile, dove viene chiesto di effettuare il login per “autenticarsi”. L’utente inserisce la password: in quel momento, è già stata rubata.

Esempio 2: la falsa conferma di pagamento

Un altro utente riceve un evento con titolo “Pagamento rifiutato – verifica subito” e un link che rimanda a un modulo di Google Form apparentemente innocuo. Compila i dati richiesti, tra cui nome, cognome, codice fiscale e IBAN. Qualche giorno dopo, si accorge che dal conto mancano centinaia di euro.

Esempio 3: malware travestito da documento

Un invito dal titolo “Contratto PDF in allegato – clicca per scaricare” contiene un link che avvia il download di un file apparentemente in formato PDF. In realtà, si tratta di un file eseguibile camuffato, che infetta il computer della vittima con un malware trojan in grado di controllare il sistema da remoto.

Questi esempi dimostrano quanto sia facile cadere nella trappola, specialmente quando l’invito arriva attraverso un’app considerata affidabile come Google Calendar. Il contesto “lavorativo” o “urgente” rende tutto più credibile, e un clic affrettato può bastare per compromettere la sicurezza del tuo account o del tuo intero dispositivo.

Per questo è fondamentale non abbassare mai la guardia, nemmeno davanti a un semplice evento nel calendario.

Perché proprio Google Calendar?

Google Calendar è molto più di una semplice agenda digitale. È un nodo centrale della produttività quotidiana, tanto per gli utenti privati quanto per aziende, scuole e organizzazioni.

La sua integrazione nativa con Gmail, Drive, Meet e gli altri strumenti della suite Google Workspace lo rende un’app indispensabile: ogni giorno milioni di persone lo utilizzano per gestire appuntamenti, riunioni, deadline, promemoria, call con clienti e colleghi.

Questa pervasività lo rende estremamente attraente anche per i cybercriminali. Colpire una piattaforma così diffusa significa avere un’alta probabilità di intercettare almeno una parte degli utenti e ottenere accesso a dati sensibili, contatti personali e persino informazioni aziendali riservate.

Il nuovo attacco che sfrutta Google Calendar rappresenta un’evoluzione sofisticata del phishing tradizionale. Se prima il rischio arrivava per email, oggi si presenta sotto forma di invito a un evento, apparentemente legittimo, che sfrutta il prestigio e l’affidabilità del brand Google per superare le naturali difese dell’utente.

Ricevere un invito su Calendar è percepito come qualcosa di normale, quasi automatico. Ecco perché molti non si soffermano a controllare chi lo ha inviato, dove porta il link o se il contenuto ha senso. Un clic affrettato, spinto dalla curiosità o dalla fretta, può aprire la porta a:

  • furti di identità;
  • compromissione dell’account Google;
  • esfiltrazione di documenti su Drive;
  • diffusione del malware nella rete aziendale.

In contesti aziendali, l’attacco diventa ancora più pericoloso: un singolo account compromesso può diventare l’anello debole dell’intera infrastruttura IT. Gli hacker possono scalare i privilegi, accedere a file condivisi, documenti riservati, report finanziari o progetti interni, fino a mettere in crisi la continuità operativa di un’intera azienda.

Ecco perché è fondamentale non abbassare mai la guardia, anche davanti a strumenti apparentemente innocui come un calendario.

I punti deboli delle app Google

Nonostante la loro popolarità e i controlli costanti, anche le app Google presentano delle vulnerabilità.

Tra le più comuni:

  • Condivisione errata di file su Drive, con link pubblici accessibili a chiunque;
  • Uso promiscuo di account personali e professionali, che mette a rischio le informazioni aziendali;
  • Password deboli o riutilizzate, ancora oggi tra le cause principali di account violati;
  • Falsi documenti su Google Docs che contengono link malevoli o moduli fasulli;
  • Mancanza di crittografia end-to-end, che espone le informazioni a potenziali intercettazioni;
  • Bug e falle di sicurezza, che possono essere sfruttate per installare malware o accedere ai sistemi.

Non si tratta di difetti irrimediabili, ma di rischi da conoscere per poterli evitare.

Calendario Google sotto attacco

Come proteggerti dagli attacchi su Google Calendar

Google Calendar è uno strumento straordinario, ma come tutti i servizi online, deve essere utilizzato con consapevolezza. Ecco come mettere in sicurezza il tuo account e i tuoi dati, con esempi ed eventuali strumenti tecnici a supporto.

1. Attiva l’autenticazione a due fattori (2FA)

L’autenticazione a due fattori è una delle difese più efficaci contro furti di credenziali. Google consente di attivarla tramite:

  • App Authenticator (Google Authenticator, Authy);
  • Chiavi di sicurezza fisiche (es. YubiKey);
  • Biometria (impronta, riconoscimento facciale);
  • NOT via SMS, perché intercettabile.

Esempio:
Vai su myaccount.google.com/security → “Accesso a Google” → “Verifica in due passaggi” → Segui la procedura.

2. Tieni separati account e dispositivi personali e aziendali

Molti utenti, per comodità, accedono al proprio account personale su dispositivi di lavoro (o viceversa). Questo è pericoloso:

  • Se un dispositivo viene violato, entrambi gli ambienti (privato e aziendale) possono essere compromessi;
  • L’accesso incrociato può creare problemi legali (es. dati personali su dispositivi aziendali soggetti a policy interne).

Buona pratica:
Usa profili separati nel browser (chrome://settings/profiles) o browser diversi per ambienti differenti.

3. Aggiorna regolarmente sistemi, app e antivirus

Gli aggiornamenti correggono falle note che possono essere sfruttate per:

  • Rubare credenziali;
  • Iniettare malware;
  • Violare sessioni attive.

Esempio tecnico:
Su sistemi Linux, automatizza gli aggiornamenti:
sudo apt update && sudo apt upgrade -y

Per Windows, assicurati che Windows Update sia attivo e automatico.

4. Verifica le autorizzazioni dei file condivisi su Drive

Molti utenti dimenticano di revocare l’accesso ai file o cartelle condivise dopo un progetto, un colloquio o una collaborazione.

Esempio pratico:

  1. Vai su https://drive.google.com/drive/shared-with-me;
  2. Clicca con il tasto destro su un file → “Gestisci accessi”;
  3. Rimuovi chi non deve più vedere quel contenuto.

Pro tip per admin:
Usa Google Workspace Admin SDK per monitorare la condivisione su larga scala.
Esempio con Python + Google API:

from google.oauth2 import service_account

from googleapiclient.discovery import build

SCOPES = ['https://www.googleapis.com/auth/drive.metadata.readonly']

creds = service_account.Credentials.from_service_account_file(

    'credentials.json', scopes=SCOPES)

service = build('drive', 'v3', credentials=creds)

results = service.files().list(q="sharedWithMe", pageSize=10).execute()

for item in results.get('files', []):

    print(f"{item['name']} ({item['id']})")

5. Non fidarti ciecamente degli inviti ricevuti

Anche se l’invito arriva da Google Calendar, verifica sempre:

  • Mittente sconosciuto? → sospetto
  • Link abbreviati o strani? → pericolo
  • Descrizioni vaghe o fretta eccessiva? → phishing

Esempio:
Hai ricevuto un invito da “billing.alerts.noreply@gmail.com”? Sembra Google, ma non lo è. Controlla sempre il dominio: *solo gli indirizzi @google.com sono ufficiali.

6. Fai backup periodici, anche di Drive

Google Drive è comodo, ma non è un vero sistema di backup: i file possono essere cancellati, sovrascritti o infettati. Fai backup esterni.

Esempio con rclone (strumento open source):

rclone sync drive: ~/backup/drive --drive-root-folder-id yourFolderID

Oppure usa Google Takeout (https://takeout.google.com/) per esportare i tuoi dati in locale.

7. Controlla regolarmente la sicurezza del tuo account Google

Google mette a disposizione un utile strumento di Security Checkup che analizza:

  • Dispositivi connessi
  • Attività recenti
  • App con accesso all’account
  • Accessi sospetti

Vai su: https://myaccount.google.com/security-checkup

Proteggi anche ciò che sembra innocuo

In un mondo digitale sempre più complesso, anche un’app “innocente” come il calendario può diventare un’arma nelle mani sbagliate. Proteggere il proprio account Google significa difendere non solo eventi e promemoria, ma l’accesso all’intero ecosistema digitale personale e aziendale.

La prevenzione — fatta di attenzione, aggiornamenti, backup e verifica costante — resta la migliore difesa.

Conclusione: fidarsi è bene, proteggersi è meglio

La sicurezza digitale è fatta di attenzione, consapevolezza e strumenti giusti. L’attacco hacker che sfrutta Google Calendar ci ricorda che anche le piattaforme più affidabili possono essere usate contro di noi. Per questo, è fondamentale non abbassare mai la guardia.

Domande e risposte

  1. Cos’è il phishing tramite Google Calendar?
    Il phishing tramite Google Calendar è una truffa informatica in cui gli hacker inviano falsi inviti a eventi, contenenti link fraudolenti che portano a siti pericolosi o al download di malware.
  2. Perché Google Calendar è preso di mira dagli hacker?
    Perché è ampiamente usato e integrato con Gmail, Drive e Meet. Gli utenti tendono a fidarsi delle notifiche che ricevono, rendendoli vulnerabili a truffe ben costruite.
  3. Posso ricevere un invito falso anche se non accetto eventi da sconosciuti?
    Sì. A seconda delle impostazioni, alcuni inviti possono essere aggiunti automaticamente al tuo calendario senza conferma esplicita.
  4. Come faccio a capire se un invito è falso?
    Controlla il mittente, leggi bene il testo dell’invito, diffida da link sospetti e non cliccare se non sei sicuro. Verifica sempre che l’indirizzo email sia ufficiale.
  5. Qual è il modo più sicuro per attivare l’autenticazione a due fattori?
    Utilizza un’app come Google Authenticator o una chiave fisica. Evita gli SMS, che possono essere intercettati.
  6. È sicuro usare Google Drive come unico sistema di backup?
    No. Drive è utile per l’archiviazione, ma è sempre meglio eseguire backup periodici esterni, locali o su altri servizi.
  7. Come posso proteggere i file condivisi su Google Drive?
    Controlla regolarmente le autorizzazioni dei file e rimuovi l’accesso a chi non è più autorizzato. Evita di impostare la condivisione “Chiunque ha il link”.
  8. Cosa devo fare se clicco su un link sospetto in un invito?
    Chiudi subito la pagina, scollegati dall’account Google e cambia la password. Esegui anche una scansione antivirus.
  9. Gli attacchi su Google Calendar riguardano solo gli utenti aziendali?
    No, anche gli utenti privati possono essere presi di mira, soprattutto se non usano buone pratiche di sicurezza.
  10. Dove posso controllare la sicurezza del mio account Google?
    Puoi usare lo strumento ufficiale di Google qui: https://myaccount.google.com/security-checkup
5
To top