Злоумышленники нашли способ доставлять фишинговые уведомления, замаскированные под квитанции о покупках, через приглашения iCloud Calendar. Письма исходят с инфраструктуры Apple (адрес [email protected]) и проходят проверки SPF, DKIM и DMARC, что существенно повышает их доставляемость и снижает вероятность блокировки антиспам-системами.
Рассылка «квитанций» через iCloud Calendar: как работает атака
По данным BleepingComputer, один из примеров включал «квитанцию» на 599 долларов США якобы от PayPal и номер для связи с «поддержкой». Цель — вовлечь жертву в callback phishing (также известен как TOAD — telephone-oriented attack delivery), заставив позвонить по указанному номеру для «отмены платежа».
Злоупотребление полем Notes в приглашениях
Ключевой прием — встраивание фишингового текста прямо в поле Notes календарного приглашения iCloud. Когда владелец календаря приглашает внешних участников, Apple автоматически отправляет письмо-приглашение с домена email.apple.com от имени [email protected]. Таким образом злоумышленники используют легитимный канал доставки, который доверяют фильтры.
Сценарий атаки по телефону
После звонка по номеру из «квитанции» оператор убеждает, что аккаунт скомпрометирован, предлагает установить ПО для «возврата средств» или инициирует удаленное подключение. Это приводит к краже средств, установке малвари или эксфильтрации данных с устройства жертвы — типичный паттерн телефонных возвратных фишинговых схем.
Почему письма проходят SPF, DKIM и DMARC
Исследователи отмечают, что приглашения нередко отправлялись на адрес Microsoft 365, связанный со списком рассылки, который затем автоматически пересылал письмо всем участникам группы. Переадресация обычно ломает SPF, но Microsoft 365 применяет Sender Rewriting Scheme (SRS) — переписывает путь возврата на собственный домен, чтобы проверка SPF у конечного адресата проходила успешно.
Роль списков рассылки Microsoft 365
При использовании рассылочных списков сохранение или восстановление результатов аутентификации повышает шанс прохождения DMARC. Если DKIM-подпись от Apple остается целой и домены согласованы, DMARC тоже может пройти. В сумме это позволяет письмам из доверенной инфраструктуры выглядеть полностью легитимно, хотя содержимое фактически фишинговое.
Связь с TOAD/Callback-фишингом и актуальные примеры
Кампания схожа с наблюдаемыми весной 2025 года схемами, где злоумышленники рассылали «квитанции» на адреса рассылок Microsoft 365, чтобы расширить охват. Методика соответствует тенденции роста телефонно-ориентированных атак: злоумышленники все чаще обходят URL-блокировки и песочницы, делая телефоны главным каналом взаимодействия. По данным общеотраслевых отчетов и жалоб в IC3, ущерб от телефонных и «техподдержечных» мошенничеств ежегодно оценивается в сотни миллионов долларов, а средний возраст жертв часто выше среднего.
Рекомендации по защите пользователей и администраторов
Для конечных пользователей: не звоните по номерам из непрошенных «квитанций». Проверяйте транзакции напрямую в приложении или на сайте сервиса (PayPal, банк) и используйте только официальные каналы поддержки. Никогда не устанавливайте ПО или не предоставляйте удаленный доступ по звонку.
Для администраторов и SOC: настройте правила в Microsoft 365, ограничивающие доставку внешних приглашений на списки рассылки, либо помещайте такие письма в карантин. Используйте транспортные правила для пометки или блокировки писем с атипичными шаблонами «квитанций» и телефонными номерами в теле приглашений. Пересмотрите allowlist-политики: письма с доверенных доменов не должны автоматически обходить контент-фильтрацию.
Технические меры: включите дополнительные проверки для iCal-приглашений (например, разбор .ics и фильтрацию Notes), усилите защиту от удаленного доступа (AppLocker/WDAC, блокировка нежелательных remote-support инструментов), применяйте EDR/NGAV и мониторинг действий пользователей, связанных с телефонными инцидентами. Регулярно обучайте сотрудников распознаванию TOAD-атак и проводите фишинг-симуляции.
Сообщается, что BleepingComputer уведомил Apple о злоупотреблении приглашениями iCloud Calendar, однако на момент публикации ответ получен не был. С учетом задействования доверенной инфраструктуры поставщика и механизмов SRS у почтовых шлюзов, организациям и пользователям критично усиливать контент-фильтрацию, избирательность получения календарных приглашений и процедуры верификации платежей. Если получаете «квитанцию» с номером телефона — проверьте ее через официальный аккаунт сервиса и не вступайте в контакт по указанному номеру: это резко снижает эффективность подобных схем.
