Cyberkriminelle liefern derzeit täuschend echt wirkende „Quittungen“ über iCloud-Kalendereinladungen aus. Die Einladungen stammen sichtbar von der Apple-Domain email.apple.com (Absender: [email protected]) und bestehen dadurch häufig SPF, DKIM und DMARC. Das erhöht die Zustellbarkeit und erschwert die Erkennung durch Anti-Spam-Systeme. Ziel ist Callback-Phishing (TOAD), bei dem Opfer eine Telefonnummer anrufen sollen, um angebliche Zahlungen — etwa über 599 US‑Dollar „via PayPal“ — zu stornieren.
Missbrauch von Kalendereinladungen: legitimer Kanal, bösartige Inhalte
Der Kern des Angriffs ist das Notes-Feld der iCloud-Kalendereinladung. Fügt ein Angreifer dort den Phishing-Text ein und lädt externe Teilnehmer ein, versendet Apple automatisch eine E‑Mail-Einladung über die eigene Infrastruktur. Diese legitime Auslieferungskette genießt hohes Vertrauen bei Mail-Gateways, weshalb die Nachricht wirkt, als käme sie direkt von Apple — obwohl der Inhalt ein Betrugsversuch ist.
TOAD in der Praxis: vom Anruf zur Kompromittierung
Nach dem Anruf unter der in der „Quittung“ hinterlegten Nummer folgt Social Engineering: Der vermeintliche Support erklärt, das Konto sei kompromittiert, und fordert zur Installation von „Remote‑Support“-Software oder zum Aufbau einer Fernwartung auf. Das resultiert in Kontoplünderung, Malware-Installation oder Datenabfluss — typische Effekte von telefonorientierten Phishing-Kampagnen.
Warum SPF, DKIM und DMARC den Betrug nicht stoppen
Viele Angriffe zielen auf Microsoft‑365‑Verteilerlisten. Weiterleitungen können SPF normalerweise brechen, doch Microsoft 365 setzt das Sender Rewriting Scheme (SRS) ein: Der Rückweg-Absender wird auf eine Microsoft‑Domain umgeschrieben, sodass die SPF‑Prüfung beim Endempfänger wieder besteht. Bleibt zugleich die von Apple gesetzte DKIM‑Signatur intakt und ist die From‑Domain korrekt ausgerichtet, kann auch DMARC erfolgreich passieren.
Verstärkender Effekt von Verteilerlisten
Verteilerlisten erhöhen den Wirkungsgrad der Kampagne: Eine Einladung an die Liste wird an alle Mitglieder zugestellt. Weil Authentifizierungsresultate teils erhalten oder rekonstruiert werden, erscheinen die Nachrichten noch legitimer. Ergebnis: hohe Reichweite bei gleichzeitig hoher Vertrauenswürdigkeit aus Sicht des E‑Mail-Schutzes.
Taktische Einordnung: Trend zu Callback-Phishing
Die Methode fügt sich in den anhaltenden Trend zu TOAD/Callback‑Phishing ein. Angreifer umgehen URL‑Filter, Sandboxes und isolieren die Interaktion auf den Telefonkanal. Branchenberichte (u. a. Proofpoint „State of the Phish“) dokumentieren den Anstieg solcher Kampagnen. Laut dem FBI IC3 Report 2023 verursachte Tech‑Support‑Betrug Verluste von über 900 Mio. US‑Dollar, wobei ältere Zielgruppen überproportional betroffen sind. Die nun beobachtete Ausnutzung von iCloud‑Einladungen erweitert lediglich den Vorbau der Angriffs‑Lieferkette.
Empfehlungen: Schutz für Nutzer, Admins und SOC
Sofortmaßnahmen für Endanwender
Rufen Sie keine Nummern aus ungefragten „Quittungen“ an. Prüfen Sie Zahlungen ausschließlich in der offiziellen App oder auf der Website des Anbieters (z. B. PayPal, Bank). Kein Remotezugriff, keine Softwareinstallationen auf Zuruf. Verdächtige Einladungen im Kalender ablehnen und als Phishing melden.
Technische und organisatorische Kontrollen in Microsoft 365
Beschränken oder quarantänieren Sie externe Kalendereinladungen an Verteilerlisten. Implementieren Sie Transportregeln, die Einladungen mit Quittungs‑/Rechnungsformulierungen und Telefonnummern im Notes‑Feld markieren oder blockieren. Aktivieren Sie eine .ics‑Inhaltsanalyse (Parsing des Notes‑Felds) und vermeiden Sie Allowlists, die Content‑Filterung für „vertrauenswürdige“ Domänen pauschal aushebeln.
Härten Sie Endpunkte: blockieren Sie unerwünschte Fernwartungs‑Tools (z. B. per AppLocker/WDAC), setzen Sie EDR/NGAV ein und überwachen Sie verdächtige Nutzeraktionen im Kontext von Telefonvorfällen. Regelmäßige Awareness‑Trainings und Phishing‑Simulationen mit TOAD‑Szenarien erhöhen die Erkennungsrate.
BleepingComputer hat Apple über die missbräuchliche Nutzung von iCloud‑Kalendereinladungen informiert; eine Stellungnahme stand zum Zeitpunkt der Berichterstattung aus. Angesichts der Lieferkette über vertrauenswürdige Infrastruktur sollten Organisationen Content‑Filter schärfen, den Empfang externer Einladungen selektiv steuern und Zahlungsprozesse über Out‑of‑Band‑Verifikation absichern. Erhalten Sie eine angebliche „Quittung“ mit Telefonnummer, prüfen Sie diese ausschließlich via offiziellem Konto und nehmen Sie keinen Kontakt über die angegebene Nummer auf.
