En ny phishing-bølge sniger falske regninger ind i din kalender uden om spamfilteret.
Angrebet udnytter en standardindstilling i Google Kalender, der lægger mødeinvitationer ind i dit skema automatisk, også når afsenderen er helt fremmed. Da begivenheden kommer fra Googles egne servere, ser den ægte ud, og intet filter når at stoppe den.
Google har netop advaret om problemet i sin juni-rapport om svindel, hvor selskabet skriver, at falske fornyelsesnotater bliver lagt direkte ind som Google Kalender-invitationer. Rapporten er underskrevet af Laurie Richardson, vicepræsident for Trust & Safety hos Google.
Sådan ser fælden ud
Invitationen ligner en almindelig kalenderbegivenhed. Titlen handler om en forfalden faktura, en abonnementsfornyelse eller en pakke, der venter. I beskrivelsesfeltet står et beløb, et opdigtet ordrenummer og et telefonnummer, som du opfordres til at ringe til for at “annullere” eller “bestride” betalingen.
Et konkret eksempel er beskrevet i en opsamling fra Techlicious fra juni 2026, hvor svindlere udgav sig for at være sikkerhedsfirmaet Malwarebytes og sendte falske kvitteringer for en fireårig licensfornyelse med opdigtede medlems-id’er og transaktionskoder. Når ofret ringer, beder bagmændene om kortoplysninger, bankoplysninger eller fjernadgang til computeren.
Variationer omfatter også præmiebeskeder, advarsler om bankoverførsler og forsinkede regninger. Fællestrækket er, at notifikationen popper op fra Googles egne servere, ikke som en mail.
Skift én indstilling og luk hullet
Det vigtigste greb er at fjerne den automatiske tilføjelse af invitationer fra fremmede. Google beskriver fremgangsmåden i sin officielle hjælpevejledning til Kalender.
På en computer åbner du Google Kalender og klikker på tandhjulet øverst til højre. Vælg “Settings”, og find punktet “Event settings” i fanen “General”. Under “Add invitations to my calendar” skifter du fra standardindstillingen til “Only if the sender is known”. Så lægges invitationer kun ind, hvis afsenderen er i dine kontakter, en del af din organisation eller en, du tidligere har skrevet med.
Indstillingen findes også på dansk under navnet “Tilføj invitationer i min kalender” og valget “Kun hvis afsenderen er kendt”.
Hvis svindelinvitationen allerede ligger der
Lad være med at trykke “Afvis”. At afvise sender et signal tilbage til afsenderen om, at adressen er aktiv, og at du læser ukendte invitationer.
I stedet skal du åbne begivenheden, klikke på menuen “More actions” i øverste højre hjørne og vælge “Report as spam”. Det blokerer arrangøren for fremtidige invitationer og fodrer samtidig Googles spamfilter med eksempler, der hjælper andre brugere.
Et bredere mønster
Kalenderfusket er ét eksempel på, hvordan svindlere flytter sig væk fra klassiske mailkampagner og ind i de tjenester, brugerne stoler på. En analyse fra Malwarebytes fra januar 2026 beskrev, hvordan kalenderinvitationer også er blevet brugt til at narre Googles AI-assistent Gemini til at videregive private mødedata via skjulte instruktioner i beskrivelsesfeltet. Det specifikke hul er ifølge selskabet lukket, men sagen viser, at kalenderfeltet er blevet et angrebsmål i sig selv.
Så længe standardindstillingen er at byde alle invitationer velkommen, er det op til den enkelte bruger at lukke døren. Det tager omkring et halvt minut.