هکرها اخیراً با سوءاستفاده از دعوتنامههای iCloud Calendar اقدام به ارسال ایمیلهای فیشینگ کردهاند که بهظاهر از سرورهای رسمی اپل ارسال میشوند. این موضوع باعث میشود که ایمیلها بهراحتی از فیلترهای اسپم عبور کنند و به صندوق ورودی قربانیان برسند.
جزئیات حمله از طریق iCloud Calendar
ایمیلهای فیشینگ بهصورت اطلاعیه خرید جعلی ارسال شدهاند، مثل یک رسید PayPal به مبلغ ۵۹۹ دلار.
متن ایمیل قربانی را ترغیب میکند تا با شمارهای که هکر قرار داده تماس بگیرد، ظاهراً برای بررسی یا لغو تراکنش.
تماس با این شماره منجر به فریب قربانی برای نصب نرمافزار مخرب یا دسترسی از راه دور میشود، که در نهایت میتواند باعث سرقت اطلاعات، بدافزار یا برداشت پول از حسابها شود.
نحوه سوءاستفاده
هکرها متن فیشینگ را در بخش Notes یک رویداد iCloud Calendar قرار میدهند و سپس یک ایمیل Microsoft 365 را به عنوان مهمان دعوت میکنند.
بدین ترتیب ایمیل دعوتنامه از noreply@email.apple.com ارسال شده و SPF، DKIM و DMARC را پاس میکند.
این تکنیک باعث میشود ایمیل از یک منبع معتبر به نظر برسد و فیلترهای اسپم آن را مسدود نکنند.
اگر ایمیل دعوتنامه به یک لیست ایمیل Microsoft 365 فرستاده شود، همه اعضای گروه هدف فیشینگ قرار میگیرند و Microsoft با استفاده از Sender Rewriting Scheme (SRS) مسیر بازگشت را بازنویسی میکند تا SPF پاس شود.
Authentication-Results: spf=pass (sender IP is 17.23.6.69)
smtp.mailfrom=email.apple.com; dkim=pass (signature was verified)
header.d=email.apple.com;dmarc=pass action=none header.from=email.apple.com;
توصیه امنیتی
⚠️ هر زمان دعوتنامه Calendar غیرمنتظره دریافت کردید که شامل متن عجیب یا مشکوک است، با احتیاط عمل کنید و از کلیک روی لینکها یا تماس با شمارههای ناشناس خودداری کنید.
