Добавить в корзинуПозвонить
Найти в Дзене
Веб-студия Lucenify Новости
106 подписчиков

Фишинг через iCloud Calendar: как письма «от Apple» проходят SPF, DKIM и DMARC

3 мин
Новый трюк фишеров бьёт по самому доверенному: календарным приглашениям. В начале сентября зафиксирована кампания, где злоумышленники рассылают «квитанции» на $599 за покупку PayPal через события iCloud Calendar. Письма уходят с адреса noreply@email.apple.com, проходят SPF, DKIM и DMARC и поэтому без труда долетают до «Входящих». Внутри — номер телефона для «отмены платежа», а дальше классическая схема с удалённым доступом и кражей денег/данных. При создании события iCloud Calendar может отправлять приглашения внешним адресатам от имени Apple: так устроена инфраструктура сервиса. Фишеры вписывают текст приманки и телефон в поле «Заметки» события, а дальше механика доставки работает как обычно — с «родных» серверов Apple, что выглядит безупречно для антиспама. Дополнительно конверсию повышает рассылающая группа на стороне Microsoft 365. При пересылке таких писем Microsoft применяет Sender Rewriting Scheme (SRS), переписывая технический адрес отправителя, чтобы SPF оставался «зелёным» да
Оглавление

Фишинг через iCloud Calendar: как письма «от Apple» проходят SPF, DKIM и DMARC

Новый трюк фишеров бьёт по самому доверенному: календарным приглашениям. В начале сентября зафиксирована кампания, где злоумышленники рассылают «квитанции» на $599 за покупку PayPal через события iCloud Calendar. Письма уходят с адреса noreply@email.apple.com, проходят SPF, DKIM и DMARC и поэтому без труда долетают до «Входящих». Внутри — номер телефона для «отмены платежа», а дальше классическая схема с удалённым доступом и кражей денег/данных.

Почему это сработало

iCloud Calendar и доверенные домены

При создании события iCloud Calendar может отправлять приглашения внешним адресатам от имени Apple: так устроена инфраструктура сервиса. Фишеры вписывают текст приманки и телефон в поле «Заметки» события, а дальше механика доставки работает как обычно — с «родных» серверов Apple, что выглядит безупречно для антиспама.

Как помогает пересылка в Microsoft 365

Дополнительно конверсию повышает рассылающая группа на стороне Microsoft 365. При пересылке таких писем Microsoft применяет Sender Rewriting Scheme (SRS), переписывая технический адрес отправителя, чтобы SPF оставался «зелёным» даже после форварда. Это стандартное поведение Exchange Online, описанное в документации, и именно оно даёт мошенническому письму ещё один шанс пройти фильтры.

Чем это опасно на практике

Получатель видит «покупку» и телефон «поддержки». Звонок приводит к попытке убедить жертву установить ПО для удалённого доступа «для возврата средств» — уже знакомый сценарий коллбэк‑фишинга, который часто заканчивается кражей денег, установкой малвари или сливом данных.

Как защититься пользователям

Правила цифровой гигиены

  • Не звоните по номерам из писем и приглашений. Откройте PayPal/банк вручную в приложении или на официальном сайте.
  • Не устанавливайте «вспомогательное ПО» и не передавайте коды 2FA по телефону.

Настройки iCloud Calendar

  • Переключите получение приглашений «Только в уведомлениях», а не по email: iCloud.com → Calendar → Settings → Account → Invitations → In‑app Notifications. Так снижается ценность рассылки через почту.
  • Отмечайте подозрительные письма как нежелательную почту и пересылайте образцы на reportphishing@apple.com. Для SMS/iMessage используйте встроенную функцию «Сообщить о спаме».
  • Изучите рекомендации Apple по распознаванию социальной инженерии — там собраны признаки поддельных писем и звонков.

Что делать компаниям и админам

Политики и фильтры

  • Добавьте в почтовый шлюз правило карантина/маркировки для входящих приглашений text/calendar с внешних доменов, где в теле события встречаются паттерны телефонных номеров и словоформы «PayPal», «refund», «support». Рассмотрите исключения для партнеров, чтобы не ломать рабочие процессы.
  • Проверяйте, как ваша организация форвардит почту наружу: из‑за SRS форвард может непреднамеренно «легитимизировать» нежеланную рассылку. Пересмотрите маршрутизацию и правила групп с внешними адресами.
  • Обучите сотрудников процедуре «безопасного обратного звонка»: искать контакты поставщика только в официальных справочниках/порталах, а не в письме.

MDM и EDR

  • Заблокируйте установку несанкционированных средств удалённого доступа на управляемых устройствах и включите поведенческие политики EDR на детекцию remote‑tool‑установщиков.

Шире: тренд на злоупотребление «доверенными» каналами

Злоумышленники активно маскируются под привычные форматы. Например, VirusTotal недавно описал кампанию, где вредонос прячется внутри «невинных» SVG‑картинок: некоторые образцы не ловили антивирусы, а JavaScript прямо в SVG рисовал фальш‑порталы госорганов и приводил к загрузке вредоносного архива. Вывод один: не всякий «доверенный» канал безопасен по умолчанию.

Итог

Перед нами не «взлом Apple», а умное злоупотребление легитимной функцией iCloud Calendar плюс эффект SRS в почтовых цепочках. Сентябрьская волна — хороший повод обновить политики приема календарных приглашений, пересмотреть форвард в Microsoft 365 и напомнить сотрудникам простое правило: телефоны из писем — табу.

Ключевые слова

  • iCloud Calendar
  • фишинг
  • SPF DKIM DMARC
  • Sender Rewriting Scheme
  • Microsoft 365
  • Apple
  • календарные приглашения
  • callback scam
  • почтовая безопасность
  • социальная инженерия