Golpes de phishing estão cada vez mais sofisticados, e a última fraude descoberta eleva o nível ao explorar uma plataforma confiável.
Em vez de enviar e-mails genéricos ou suspeitos, os criminosos passaram a abusar do sistema de convites pelo iCloud Calendar da Apple para difundir conteúdo malicioso diretamente a partir dos servidores legítimos da Apple.
Essa tática inteligente permite que as mensagens fraudulentas passem despercebidas pelos filtros de spam e pareçam mais confiáveis para usuários desavisados.
O objetivo é assustar a vítima para que ela ligue para um falso suporte, sob a alegação de contestar uma transação irregular no PayPal.
A partir do contato, o golpista tenta convencer o usuário a conceder acesso remoto ao dispositivo ou fornecer dados pessoais sensíveis.
O ponto central dessa fraude está no uso da infraestrutura oficial da Apple para dar credibilidade à tentativa de phishing.
Em vez de enviar e-mails a partir de endereços suspeitos, os criminosos utilizam o domínio legítimo da Apple, noreply[@]email[.]apple[.]com, conforme apontado pelo site Bleeping Computer.
A mensagem de phishing é inserida na seção "Notas" do evento do calendário, fazendo parecer um aviso legítimo.
O golpe começa ao enviar o convite para um endereço Microsoft 365 controlado pelo criminoso, que faz parte de uma lista de distribuição.
Com isso, o convite é automaticamente encaminhado para diversas vítimas reais, ampliando o alcance do ataque.
Normalmente, quando e-mails são encaminhados, os filtros SPF (Sender Policy Framework) bloqueiam porque o servidor de reenvio não está autorizado.
Contudo, o Microsoft 365 utiliza uma técnica chamada Sender Rewriting Scheme (SRS), que reescreve o caminho de retorno, permitindo que a mensagem passe nos cheques SPF.
Isso faz com que o e-mail pareça totalmente legítimo tanto para o filtro quanto para o destinatário, aumentando significativamente as chances de que a vítima caia no golpe.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...