Мошенники нашли новый способ атаковать пользователей и обойти привычные антиспам-фильтры — через iCloud Calendar и серверы Apple. На первый взгляд письма выглядят как легитимные уведомления от компании, но внутри скрывается хорошо знакомый приём callback-фишинга.
Сценарий выглядит так: жертва получает приглашение в календарь от имени Apple, с адреса noreply@email.apple.com. Письмо проходит все проверки SPF, DKIM и DMARC, потому что действительно отправлено с серверов Apple, и поэтому без проблем пролетает через фильтры. Внутри — «квитанция» об оплате, например, списание $599 через PayPal. Чтобы «разобраться» или «отменить», предлагается позвонить в службу поддержки по указанному номеру.
Если человек звонит, он попадает не в Apple, а к мошенникам. Там его начинают убеждать, что для возврата денег нужно установить специальное ПО для удалённого доступа. Дальше всё предсказуемо: вместо защиты аккаунта жертва рискует потерять деньги и данные.
Хитрость в том, что текст с квитанцией и телефоном злоумышленники прячут в поле Notes календарного приглашения. Когда создаётся событие и в него добавляют внешние адреса, iCloud автоматически рассылает уведомления от имени Apple. В одном из зафиксированных случаев письмо пришло сразу на корпоративный Microsoft 365-адрес с пересылкой множеству сотрудников, что сделало атаку ещё масштабнее.
Опасность схемы в том, что письма действительно приходят с доверенного домена Apple, выглядят официально и имеют все шансы пройти защиту. Для многих пользователей это будет поводом довериться содержимому, а календарные приглашения обычно не вызывают подозрений.
Эксперты советуют: если вы получаете неожиданное приглашение в календарь с упоминанием денег, квитанций или телефонных номеров — игнорируйте его. Не звоните и не переходите по ссылкам. Настоящие Apple, PayPal или банки никогда не будут решать вопросы таким образом. Проверить операции всегда можно только через официальный сайт или приложение.