Undangan Kalender iCloud sedang dilecehkan untuk mengirim email phishing callback yang disamarkan sebagai pemberitahuan pembelian langsung dari server email Apple, membuat mereka lebih cenderung mem -bypass filter spam untuk mendarat di kotak masuk target.
Awal bulan ini, seorang pembaca berbagi email dengan BleepingComputer yang mengklaim sebagai tanda terima pembayaran sebesar $ 599 yang dibebankan terhadap akun PayPal penerima. Email ini menyertakan nomor telepon jika penerima ingin mendiskusikan pembayaran atau melakukan perubahan padanya.
“Halo pelanggan, akun PayPal Anda telah ditagih $ 599,00. Kami mengkonfirmasi penerimaan pembayaran terbaru Anda,” baca email.
“Jika Anda ingin mendiskusikan atau melakukan perubahan pada pembayaran ini, silakan hubungi tim dukungan kami di +1 +1 (786) 902-8579. Hubungi kami untuk membatalkan +1 (786) 902-8579,” lanjut email.
Sumber: BleepingComputer
Tujuan dari email -email ini adalah untuk menipu penerima agar berpikir akun PayPal mereka dibebankan secara curang untuk melakukan pembelian dan menakuti penerima email untuk menghubungi nomor telepon “dukungan” scammer.
Saat menelepon nomor tersebut, seorang scammer akan mencoba membuat Anda takut untuk berpikir akun Anda diretas atau mereka perlu terhubung ke komputer Anda untuk memulai pengembalian uang, meminta Anda untuk mengunduh dan menjalankan perangkat lunak.
Namun, dalam penipuan sebelumnya seperti ini, akses jarak jauh ini digunakan mencuri uang dari rekening bank, menggunakan malwareatau mencuri data dari komputer.
Menyalahgunakan Kalender iCloud Undangan untuk Mengirim Email
Pencatatan dalam email ini adalah tipikal Penipuan phishing callbacktapi yang aneh adalah bahwa itu dikirim dari noreply@email.apple.com, melewati cek keamanan email SPF, DMARC, dan DKIM, menandakan bahwa itu secara sah berasal dari server surat Apple.
Authentication-Results: spf=pass (sender IP is 17.23.6.69) smtp.mailfrom=email.apple.com; dkim=pass (signature was verified) header.d=email.apple.com;dmarc=pass action=none header.from=email.apple.com;
Seperti yang dapat Anda lihat dari email phishing di atas, email ini sebenarnya adalah undangan kalender iCloud, di mana aktor ancaman memasukkan teks phishing dalam bidang catatan dan kemudian mengundang alamat email Microsoft 365 yang dikendalikan.
Ketika acara Kalender iCloud dibuat dan orang -orang eksternal diundang, undangan email dikirim dari server Apple di email.apple.com dari nama pemilik kalender iCloud dengan alamat email “noreply@email.apple.com”
Dalam email yang dilihat oleh BleepingComputer, undangan ini ditujukan ke akun Microsoft 365, “billing3@williamerdickinsonerltd.onmicrosoft.com”.
Mirip dengan kampanye phishing sebelumnya Fitur “Alamat Baru” PayPal yang digunakandiyakini bahwa alamat email Microsoft 365 yang diundang dikirim sebenarnya adalah milis yang secara otomatis meneruskan email apa pun yang diterimanya ke semua anggota grup lainnya.
Dalam hal ini, anggota milis adalah target penipuan phishing.
Karena email awalnya dimulai dari server email Apple, jika diteruskan oleh Microsoft 365, biasanya akan gagal pemeriksaan email SPF.
Untuk mencegah hal ini, Microsoft 365 menggunakan skema penulisan ulang pengirim (SRS) untuk menulis ulang jalur pengembalian ke alamat yang terkait dengan Microsoft, yang memungkinkannya untuk melewati pemeriksaan SPF.
Original Return-Path: noreply@email.apple.com Rewritten Return-Path: bounces+SRS=8a6ka=3I@williamerdickinsonerltd.onmicrosoft.com
Meskipun tidak ada yang istimewa tentang umpan phishing itu sendiri, penyalahgunaan fitur undangan kalender iCloud yang sah, server email Apple, dan alamat email Apple menambah rasa legitimasi pada email dan juga memungkinkannya untuk berpotensi memotong filter spam karena berasal dari sumber tepercaya.
Sebagai aturan umum, jika Anda menerima undangan kalender yang tidak terduga dengan pesan aneh di dalamnya, itu harus diperlakukan dengan hati -hati.
BleepingComputer menghubungi Apple tentang penipuan ini, tetapi tidak menerima tanggapan terhadap email kami.
