Календарь iCloud стали использовать для отправки фишинговых писем с серверов Apple

Приглашения в iCloud Calendar стали использоваться хакерами для отправки фишинговых писем с обратным вызовом, замаскированных под уведомления о покупках. Отправка осуществляется непосредственно с почтовых серверов Apple.

Такая стратегия повышает вероятность обхода спам-фильтров.

Один из читателей поделился с BleepingComputer письмом, которое выглядело как квитанция ​​об оплате на сумму $599, списанную с аккаунта PayPal получателя. В письме был указан номер телефона, по которому тот мог опротестовать платёж или внести изменения. «Свяжитесь с нашей службой поддержки по телефону +1 (786) 902-8579. Чтобы отменить платёж, свяжитесь с нами по телефону +1 (786) 902-8579», — было сказано в письме. 

Цель таких писем — ввести получателей в заблуждение, заставив их поверить, что с их счёта PayPal была мошенническим образом списана сумма для совершения покупки. Позвонив по номеру, человек связывался с мошенником, который уверял его, что счёт взломан или необходимо удалённо подключиться к компьютеру для возврата средств. Такой удалённый доступ использовался для кражи денег с банковских счетов, внедрения вредоносного ПО или кражи данных с компьютера.

Странность заключалась в том, что письма отправляли с адреса [email protected], и они проходили проверки безопасности SPF, DMARC и DKIM. Это означало, что письмо действительно пришло с почтового сервера Apple.

Письма на самом деле были приглашением в iCloud Calendar, где злоумышленник добавлял фишинговый текст в поле «Заметки». Затем он отправлял письмо на подконтрольный ему адрес электронной почты Microsoft 365. При создании события в Календаре iCloud и приглашении внешних пользователей с серверов Apple по адресу email.apple.com генерировалось электронное приглашение от имени владельца