Календарь iCloud использовали для рассылки фишинговых писем

Сервис iCloud Calendar оказался инструментом в новой схеме фишинга: мошенники используют функцию приглашений, чтобы рассылать поддельные уведомления о покупках напрямую с почтовых серверов Apple. Благодаря этому такие письма с адреса noreply@email.apple.com успешно проходят проверки SPF, DKIM и DMARC и попадают во «входящие», обходя спам-фильтры.

Как работает атака

Жертвы получают «уведомление» о списании $599 через PayPal. В письме указывается номер телефона для «отмены платежа». При звонке злоумышленники убеждают пользователя, что его аккаунт взломан, и предлагают установить ПО для удалённого доступа — чтобы украсть деньги или данные.

Фишинговый текст встраивается в поле «Заметки» календарного события. Приглашения рассылаются через Microsoft 365-адреса, что усиливает легитимность.

«Здравствуйте, клиент! С вашего счёта PayPal был списан счёт на сумму 599,00 долларов США. Мы подтверждаем получение вашего последнего платежа. Если вы хотите обсудить этот платёж или внести в него изменения, свяжитесь с нашей службой поддержки по телефону +1 (786) 902-8579. Чтобы отменить платёж, позвоните нам по телефону +1 (786) 902-8579», — говорится в электронном письме.

Почему это опасно

• Письмо выглядит как отправленное от Apple.
• Проходит все стандартные проверки безопасности.
• Маскируется под обычное календарное приглашение.

Эксперты отмечают: подобная схема повышает вероятность того, что пользователи воспримут письмо как подлинное.

Приманка в этом письме — типичная фишинговая афера с обратным вызовом , но странность заключалась в том, что письмо было отправлено с адреса noreply@email.apple.com, пройдя проверки безопасности электронной почты SPF, DMARC и DKIM, что означало, что оно действительно пришло с почтового сервера Apple.

			Authentication-Results: spf=pass (sender IP is 17.23.6.69)
 smtp.mailfrom=email.apple.com; dkim=pass (signature was verified)
 header.d=email.apple.com;dmarc=pass action=none header.from=email.apple.com;
		

Как видно из приведенного выше фишингового письма, это письмо на самом деле является приглашением в iCloud Calendar, где злоумышленник включил фишинговый текст в поле «Заметки», а затем пригласил адрес электронной почты Microsoft 365, который он контролировал.

При создании события в Календаре iCloud и приглашении внешних пользователей с серверов Apple по адресу email.apple.com от имени владельца Календаря iCloud отправляется электронное приглашение с адресом «noreply@email.apple.com».

В электронном письме, с которым ознакомился BleepingComputer, приглашение адресовано учетной записи Microsoft 365: «Billing3@WilliamerDickinsonerLTD.onmicrosoft.com».

Что делать пользователям

• Игнорировать неожиданные приглашения в календарь с подозрительным текстом.
• Никогда не звонить по указанным номерам.
• Не устанавливать ПО по просьбе «службы поддержки».

BleepingComputer сообщает, что направил запрос в Apple о мерах против мошенничества, но ответа пока не получил.