- Автор темы
- #1
Приглашения в iCloud Calendar используются для отправки фишинговых писем, замаскированных под уведомления о покупках, напрямую с почтовых серверов Apple. Такая тактика повышает вероятность обхода спам-фильтров.
Журналисты издания Bleeping Computer сообщают, что в начале месяца читатель поделился с ними вредоносным письмом, которое маскировалось под квитанцию об оплате на 599 долларов США, якобы списанных с его аккаунта PayPal. Письмо содержало номер телефона, на тот случай его получатель хотел отметить этот платеж или внести изменения.
Цель таких писем — обмануть пользователей, заставив их думать, что PayPal-аккаунт взломан и деньги используются мошенниками для совершения покупок. Злоумышленники стремятся напугать получателя письма, чтобы тот позвонил по номеру фальшивой «поддержки».
Во время звона мошенники продолжают запугивать жертв, убеждая, что аккаунт действительно взломан. Затем атакующие предлагают удаленно подключиться к компьютеру жертвы (якобы для возврата средств) или просят скачать и запустить некое ПО. Разумеется, в итоге злоумышленники используют полученный удаленный доступ для кражи денег с банковских счетов пользователя, развертывания малвари или хищения данных со скомпрометированной машины.
Однако в данном случае странным было то, что мошенническое письмо пришло с адреса [email protected], пройдя все проверки безопасности SPF, DMARC и DKIM. То есть послание действительно исходило с почтового сервера Apple.
Журналисты объясняют, что на самом деле письмо являлось приглашением iCloud Calendar. Атакующие попросту добавили фишинговый текст в поле Notes, а затем отправили приглашение на адрес Microsoft 365, который контролировали.
Когда в iCloud Calendar создается событие и приглашаются внешние люди, с серверов Apple на
(email.apple.com) отправляется письмо-приглашение от имени владельца iCloud Calendar. Такое письмо приходит с адреса [email protected].
В письме, которое попало в распоряжение Bleeping Computer, приглашение было адресовано аккаунту Microsoft 365 ([email protected]).
Исследователи полагают, что эта кампания схожа с другим мошенничеством, обнаруженным весной 2025 года. Дело в том, что в обоих случаях адрес Microsoft 365, на который в итоге отправляется приглашение, на самом деле является списком рассылки, который автоматически пересылает любые получаемые письма всем остальным участникам группы.
Поскольку исходно вредоносное письмо исходит с почтовых серверов Apple, при пересылке Microsoft 365, оно не прошло бы проверку SPF. Чтобы этого не произошло, Microsoft 365 использует Sender Rewriting Scheme (SRS) для переписывания пути возврата на адрес, связанный с Microsoft, что позволяет посланию пройти проверки.
Хотя в самом фишинговом послании не было ничего примечательного, злоупотребление легитимной функцией приглашений в iCloud Calendar и почтовыми серверами Apple, помогает злоумышленникам обманывать спам-фильтры, поскольку письма приходят из доверенного источника.
Представители Bleeping Computer уведомили Apple об этой мошеннической схеме, однако так и не получили от компании ответа.
Журналисты издания Bleeping Computer сообщают, что в начале месяца читатель поделился с ними вредоносным письмом, которое маскировалось под квитанцию об оплате на 599 долларов США, якобы списанных с его аккаунта PayPal. Письмо содержало номер телефона, на тот случай его получатель хотел отметить этот платеж или внести изменения.
Цель таких писем — обмануть пользователей, заставив их думать, что PayPal-аккаунт взломан и деньги используются мошенниками для совершения покупок. Злоумышленники стремятся напугать получателя письма, чтобы тот позвонил по номеру фальшивой «поддержки».
Во время звона мошенники продолжают запугивать жертв, убеждая, что аккаунт действительно взломан. Затем атакующие предлагают удаленно подключиться к компьютеру жертвы (якобы для возврата средств) или просят скачать и запустить некое ПО. Разумеется, в итоге злоумышленники используют полученный удаленный доступ для кражи денег с банковских счетов пользователя, развертывания малвари или хищения данных со скомпрометированной машины.
Однако в данном случае странным было то, что мошенническое письмо пришло с адреса [email protected], пройдя все проверки безопасности SPF, DMARC и DKIM. То есть послание действительно исходило с почтового сервера Apple.
Журналисты объясняют, что на самом деле письмо являлось приглашением iCloud Calendar. Атакующие попросту добавили фишинговый текст в поле Notes, а затем отправили приглашение на адрес Microsoft 365, который контролировали.
Когда в iCloud Calendar создается событие и приглашаются внешние люди, с серверов Apple на
(email.apple.com) отправляется письмо-приглашение от имени владельца iCloud Calendar. Такое письмо приходит с адреса [email protected].
В письме, которое попало в распоряжение Bleeping Computer, приглашение было адресовано аккаунту Microsoft 365 ([email protected]).
Исследователи полагают, что эта кампания схожа с другим мошенничеством, обнаруженным весной 2025 года. Дело в том, что в обоих случаях адрес Microsoft 365, на который в итоге отправляется приглашение, на самом деле является списком рассылки, который автоматически пересылает любые получаемые письма всем остальным участникам группы.
Поскольку исходно вредоносное письмо исходит с почтовых серверов Apple, при пересылке Microsoft 365, оно не прошло бы проверку SPF. Чтобы этого не произошло, Microsoft 365 использует Sender Rewriting Scheme (SRS) для переписывания пути возврата на адрес, связанный с Microsoft, что позволяет посланию пройти проверки.
Хотя в самом фишинговом послании не было ничего примечательного, злоупотребление легитимной функцией приглашений в iCloud Calendar и почтовыми серверами Apple, помогает злоумышленникам обманывать спам-фильтры, поскольку письма приходят из доверенного источника.
Представители Bleeping Computer уведомили Apple об этой мошеннической схеме, однако так и не получили от компании ответа.