Convites do iCloud Calendar estão sendo usados para enviar e-mails de callback phishing disfarçados como notificações de compra, enviados diretamente dos servidores de e-mail da Apple, o que aumenta as chances de esses e-mails passarem pelos filtros de spam e chegarem às caixas de entrada das vítimas.
No início deste mês, um leitor compartilhou com o site BleepingComputer um e-mail que alegava ser um comprovante de pagamento de US$ 599 debitado da conta PayPal do destinatário.
Esse e-mail incluía um número de telefone para que o destinatário pudesse discutir ou alterar o pagamento.
“Olá, Cliente, sua conta PayPal foi debitada no valor de US$ 599,00. Estamos confirmando o recebimento do seu pagamento recente”, dizia o e-mail.
“Se desejar discutir ou fazer alterações neste pagamento, por favor, entre em contato com nossa equipe de suporte pelo telefone +1 (786) 902-8579.
Contate-nos para cancelar +1 (786) 902-8579,” continuava a mensagem.
O objetivo desses e-mails é enganar o destinatário, fazendo-o acreditar que sua conta PayPal foi cobrada fraudulentamente para uma compra, e induzi-lo ao medo para que ligue para o número de suporte falso fornecido pelo golpista.
Ao ligar para esse número, o criminoso tenta convencer a vítima de que sua conta foi invadida ou que precisa se conectar ao computador dela para iniciar um reembolso, solicitando o download e execução de algum software.
No entanto, em golpes anteriores desse tipo, esse acesso remoto foi utilizado para roubar dinheiro de contas bancárias, instalar malware ou extrair dados do computador da vítima.
A isca desse e-mail é um típico callback phishing, mas o que chamou a atenção foi que ele foi enviado de [email protected], passando pelos controles de segurança SPF, DMARC e DKIM, indicando que realmente se originou do servidor de e-mail da Apple.
Como é possível perceber no e-mail de phishing, ele é, na verdade, um convite do iCloud Calendar, onde o ator malicioso inseriu o texto de phishing no campo Notes e então enviou o convite para um endereço de e-mail Microsoft 365 controlado por ele.
Quando um evento do iCloud Calendar é criado e pessoas externas são convidadas, um convite por e-mail é enviado dos servidores da Apple, no domínio email.apple.com, a partir do nome do proprietário do calendário iCloud e do endereço “[email protected]”.
No exemplo analisado pelo BleepingComputer, o convite foi enviado para uma conta Microsoft 365, “[email protected]”.
De forma semelhante a uma campanha de phishing anterior que abusava do recurso “New Address” do PayPal, acredita-se que o endereço Microsoft 365 para o qual o convite foi enviado seja, na verdade, uma mailing list que encaminha automaticamente qualquer e-mail recebido para todos os membros do grupo.
Nesse caso, os membros da mailing list são os alvos do golpe de phishing.
Como o e-mail foi inicialmente enviado pelos servidores da Apple, se a Microsoft 365 o encaminhasse diretamente, ele geralmente falharia nas verificações de SPF.
Para evitar isso, a Microsoft 365 utiliza o Sender Rewriting Scheme (SRS), que reescreve o Return Path para um endereço associado à Microsoft, permitindo que o e-mail passe nos cheques de SPF.
Embora a isca do phishing em si não seja particularmente sofisticada, o abuso do recurso legítimo do iCloud Calendar, dos servidores de e-mail da Apple e de um endereço de e-mail Apple confere uma aparência de legitimidade à mensagem, além de possibilitar que ela contorne filtros de spam por vir de uma fonte confiável.
Como regra geral, se você receber um convite inesperado do Calendar contendo uma mensagem estranha, deve tratá-lo com cautela.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...