Infractorii cibernetici exploatează Calendarul iCloud pentru a trimite phishing deghizat în invitații care arată ca niște mesaje autentice. Escrocheria ajunge în inbox ca și cum ar fi o notificare reală provenită din infrastructura Apple, ceea ce determină multe filtre de e-mail să o considere de încredere și să o transmită fără a ridica suspiciuni.
Cea mai comună momeală este cea a unei presupuse Taxă de 599 USD pe PayPal însoțit de un număr de telefon de „asistență” pentru a rezolva problema. Dacă victima sună, escrocii încearcă să o sperie cu povești despre conturi compromise și îi cer să instaleze software sau să acorde acces de la distanță; acest pas, în campaniile anterioare, a dus la furt de bani, programe malware sau scurgeri de date.
Cum este exploatat Calendarul iCloud pentru phishing
Cheia campaniei este că e-mailul nu provine de pe servere dubioase, ci de pe... email.apple.com cu adresa noreply@email.apple.com. Această sursă îi permite să treacă cu ușurință de cele mai comune verificări de autentificare: SPF, DKIM și DMARCÎn ochii filtrelor, mesajul provine dintr-o sursă de încredere.
Conținut fraudulos este introdus în câmp Note de eveniment din Calendarul iCloud și este trimis ca invitație într-o căsuță poștală Microsoft 365 controlată de atacatori; într-un exemplu analizat, aceasta indica „Billing3@WilliamerDickinsonerLTD.onmicrosoft.com”. Toate indiciile arată că această destinație acționează ca listă de distribuție care redirecționează automat invitația către alte conturi, care sunt adevăratele victime.
Această redirecționare întrerupe de obicei validarea SPF, dar Microsoft 365 impune Schema de rescriere a expeditorului (SRS), rescriind calea de returnare către o adresă asociată cu Microsoft. Cu acest truc tehnic, mesajul continuă să treacă de controale chiar și după ce trece prin înainte și liste.
Rezultatul este o combinație puternică: un e-mail care pare să vină de la Apple, călătorind prin canale legitime și trece, de asemenea, verificarea automată pe multe gateway-uri de securitate. Prin urmare, aceste invitații au mai multe șanse de evitați spamul și ajung în fața utilizatorului.
O problemă veche revine cu o față cripto
Invitațiile spam din Apple Calendar nu sunt nimic nou: un val atât de intens încât compania a introdus opțiunea de a trimite invitații spam a fost înregistrat cu ani în urmă. Raportați nedorit pe iCloud.com și chiar au publicat ghiduri pentru a le atenua. Chiar și așa, fenomenul a reapărut cu forță și cu teme noi.
În paralel cu achizițiile false, prezența escrocherii cu criptomonede: presupuse loterie, verificări urgente ale portofelului sau investiții flash. În multe cazuri, linkurile duc la pagini concepute pentru a fura acreditări sau chei, profitând de faptul că notificarea Pare a fi un eveniment normal în calendar.
Aceste transporturi sunt deosebit de enervante deoarece provin din servere legitime Și dacă utilizatorul refuză sau interacționează neglijent, este posibil să confirme în mod accidental că contul său este activ, crescând probabilitatea unor noi mesaje spam. Măsurile existente ajută, dar au... limitări dacă invitația ajunge prin canale autentificate.
Cum să detectezi și să oprești aceste invitații
Primul filtru ești tu: orice invitație neașteptată care se amestecă urgență, bani și telefoane Trebuie gestionat cu precauție. Rețineți că atacatorii preferă să vă sunați pentru a vă scoate din e-mail și a vă introduce într-o conversație în care ei au controlul.
- Nu suna către numerele incluse în invitații sau e-mailuri suspecte. Dacă suspectați că a existat o debitare, conectați-vă la contul dvs. (PayPal, bancă etc.) prin canale oficiale.
- Tratați invitațiile din calendar la fel neîncredere un e-mail: te așteptai la asta?, te presează să acționezi acum?, îți cere să instalezi software?
- Dezactivați adăugarea automată de invitații în Setări Calendar pentru a verifica manual ce este adăugat.
- Folosi autentificare multifactor (MFA) și actualizați-vă dispozitivele; reduceți impactul dacă ceva nu este disponibil.
- Dacă primiți un eveniment nedorit, utilizați opțiunile marchează ca spam în iCloud și nu interacționează cu linkurile din evenimentul în sine.
- Pentru Microsoft 365, verificați listele care redirecționează către grupuri largi și aplicați reguli anti-spoofing și carantină la invitații externe.
În mediile corporative este recomandabil să se consolideze conștientizarea și perimetrul: campanii de instruire privind phishing-ul și Vishing, blocarea abonării automate la calendare, controale granulare pentru invitații externe și soluții de screening care înțeleg atât SPF/DKIM/DMARC, cât și SRS.
Ce au spus companiile
Surse din industrie au indicat că acest abuz de invitații aduce „legitimitate împrumutată„la e-mailuri, deoarece trec de verificări tehnice și utilizează mărci de încredere. BleepingComputer susține că a contactat Apple în legătură cu această problemă, dar nu a primit încă un răspuns.”
Experții în securitate cibernetică avertizează asupra unei tendințe: atacatorii folosesc platforme legitime (Apple, Microsoft, Google, QuickBooks, AppSheet sau Telegram) pentru a se strecura în inbox-uri și a redirecționa victima către apeluri sau acces la distanță. Oamenii examinează un link într-o invitație decât într-un e-mail clasic, ceea ce îți lasă garda jos și facilitează escrocheria.
Utilizarea invitațiilor din Calendarul iCloud pentru a orchestra atacuri de phishing achiziții false și cu tematică criptografică, arată că atacatorii pot denatura funcțiile legitime pentru fraudă; cu măsuri de bază (verificarea prin canale oficiale, dezactivarea acceptării automate, aplicarea MFA și înăsprirea filtrelor), utilizatorii și organizațiile pot ridică ștacheta și reduc semnificativ riscul.
