雙重載體滲透：從郵件到行事曆的ICS釣魚攻擊

Sublime Security在11月3日發出警告：觀察到針對Google Workspace和Microsoft 365日曆使用者的網路釣魚攻擊顯著增加。Check Point也曾發布關於Google日曆的新型通知攻擊的報告，該攻擊已被發現繞過電子郵件安全策略。

ICS網路釣魚是一種利用行事曆邀請（ICS檔案格式）來傳遞惡意內容的攻擊手法，特別針對Google Workspace和Microsoft 365的自動新增邀請功能。

.ics檔案是一種日曆資料格式，用於在Apple、Google和Microsoft等公司的日曆應用程式之間共用事件。攻擊者透過Google Calendar、Microsoft Outlook、Teams、Zoom等會議平台寄送含有惡意連結或附件的會議邀請（.ics檔），些邀請可能會自動加入受害者的行事曆（Calendar），即使使用者沒有點擊「接受」或「加入」也可能被加入，進而造成資安風險。
 

• ICS（iCalendar）檔案是一種標準格式，用來建立與分享行事曆事件。
• 攻擊者會透過電子郵件發送含有惡意ICS檔案的邀請，或直接嵌入行事曆事件連結。
• Google Workspace預設可能會自動將邀請加入使用者行事曆，即使使用者未點擊「接受」。
• Microsoft 365更進一步，會將郵件中的附件一併加入行事曆事件，形成第二層攻擊載體。
  • 電子郵件本身：攻擊者可在郵件中嵌入惡意連結或附件。
  • 行事曆事件：即使未開啟郵件，事件可能已出現在行事曆中，並包含惡意連結或檔案。

ICS網路釣魚為攻擊者提供了雙重威脅，攻擊者能夠繞過傳統的郵件過濾機制，直接在使用者的日程中植入釣魚內容。既可以利用電子郵件，又可以利用邀請來傳播惡意程式碼。即使郵件被安全郵件閘道攔截或被API郵件安全解決方案誤判為垃圾郵件，日曆邀請仍然會被建立，使得成功幾率增加。
 

• 關閉自動加入行事曆功能：Google使用者在「行事曆 → 活動設定」中，將「邀請新增到我的日曆」設為 「僅限已知寄件者」或「在我回覆電子郵件中的邀請時」。Microsoft 365使用者可以停用Outlook自動處理外部會議邀請的功能。
• 審核行事曆事件來源：對陌生邀請進行人工或系統審查。
• 郵件安全閘道強化：攔截含有.ics檔案或可疑邀請的郵件。
• 強制多因素驗證（MFA）：防止帳號被釣魚後立即被登入。
• 使用者教育與演練：教導員工辨識釣魚邀請，建立通報機制，並定期進行模擬演練。