Un apel surpriză care pare că provine direct de la Apple te poate determina să suni un escroc. Prezintă o campanie de phishing care folosește invitații din iCloud Calendar trimise prin serverele Apple pentru a ajunge în inbox-urile victimelor și a le convinge să apeleze un număr fals de asistență. Schema se folosește de încrederea în adresa [email protected] și de felul în care Microsoft 365 gestionează listele de distribuție.
Problema este simplă: un utilizator primește un mesaj ce arată ca o confirmare PayPal pentru 599 de dolari, însoțit de un număr de telefon pentru „suport” în cazul în care vrei să discuți sau să anulezi plata. Textul e construit pentru a stârni panică și a determina apelul la numărul indicat. De fapt, nu este un e-mail obișnuit, ci conținutul câmpului Notes dintr-o invitație la un eveniment iCloud Calendar. Când creatorul unui eveniment iCloud invită persoane externe, Apple trimite notificările folosind adresa acelei invitații, prin serverele email.apple.com. Astfel mesajul trece verificările SPF, DKIM și DMARC, căpătând o aparență de legitimitate și având șanse mai mari să ocolească filtrele antispam.
Cum operează schema mai detaliat: atacatorul creează evenimentul în iCloud și scrie textul în Notes. Invită o adresă Microsoft 365 pe care o controlează, dar care funcționează ca listă de distribuție automată. Orice e-mail trimis către acea adresă este redirecționat către toți membrii listei, victimele finale. La redirecționare, Microsoft 365 folosește Sender Rewriting Scheme pentru a rescrie Return-Path-ul, astfel încât mesajul să păstreze validările SPF chiar dacă a pornit de la serverele Apple. În practică, Return-Path-ul original [email protected] devine ceva de genul bounces+SRS=…@williamerdickinsonerltd.onmicrosoft.com, iar autentificările afișează spf=pass, dkim=pass, dmarc=pass. Rezultatul: un mesaj care pare autentic, trimis de Apple, dar care conține un text menit să determine victimele să sune la un număr unde escrocii încearcă fie să obțină acces la calculator, fie să le convingă să autorizeze un „refund” prin soluții de acces la distanță. În campanii similare, acest tip de acces a fost folosit pentru a fura bani din conturi bancare, a instala software malițios sau a extrage date.
Momeala în sine nu e nimic sofisticat, e doar o notificare de plată falsă. Însă combinarea unei funcționalități legitime (invitațiile iCloud) cu servere recunoscute Apple și mecanismele tehnice ale Microsoft 365 face schema eficientă. Prin urmare, regula practică rămâne: dacă primiți o invitație de Calendar neașteptată cu un mesaj ciudat în Notes, priviți-o cu suspiciune. Nu sunați numere necunoscute pentru „suport” și nu instalați programe la cererea cuiva care vă contactează astfel. BleepingComputer a solicitat un punct de vedere de la Apple, dar nu a primit răspuns.
Detaliile tehnice privind rescrierea Return-Path și trecerea SPF/DKIM/DMARC arată cât de credibil poate părea un mesaj aparent banal. Când un atac reunește o adresă legitimă ([email protected]), infrastructura Apple și mecanismele de redirecționare din Microsoft 365, devine mai dificil pentru utilizatorul obișnuit sau pentru filtrele automate să diferențieze realul de înșelătorie. Exemple din text: suma de 599 USD, numărul de telefon +1 (786) 902-8579, adresa Microsoft 365 [email protected] și rescrierea Return-Path către ceva de genul [email protected]. Dacă întâlnești astfel de elemente, cere verificări suplimentare prin canale oficiale, cum ar fi contul tău PayPal sau suportul oficial Apple de pe site-ul lor.
Dacă ai primit o invitație de Calendar cu un mesaj suspect, ce pași practici poți urma imediat? Verifică din contul tău PayPal orice tranzacție pentru suma menționată; nu suna numărul din mesaj; deschide calendarul și verifică cine a creat evenimentul; marchează mesajul ca suspect și șterge invitația dacă nu recunoști sursa. Fii precaut cu solicitările de instalare a software-ului de acces la distanță; ele sunt frecvent instrumentul prin care escrocii își duc la îndeplinire planurile.
Tehnologia rămâne doar un instrument, iar ingeniozitatea atacatorilor a combinat funcții aparent inofensive pentru a construi o capcană. Creșterea complexității acestor atacuri arată că trebuie nu doar să fim atenți la conținutul mesajelor, ci și să înțelegem cum serviciile legitime pot fi abuzate. Ai primit vreodată o astfel de invitație neobișnuită în Calendar?
Fii primul care comentează