Кіберзлочинці зловживають механікою запрошень iCloud Calendar, щоб доставляти фішингові повідомлення, замасковані під квитанції про покупку. Такі листи надходять із легітимної інфраструктури Apple (адреса відправника [email protected], домен email.apple.com) і успішно проходять перевірки SPF, DKIM та DMARC, що значно підвищує їхню доставлюваність та довіру з боку поштових систем.
Як працює атака через запрошення iCloud Calendar
За даними BleepingComputer, один зі зразків містив «квитанцію» на 599 доларів США нібито від PayPal та номер «служби підтримки» для оскарження операції. Мета — втягнути жертву в callback phishing (TOAD — telephone-oriented attack delivery) і змусити її зателефонувати для «скасування платежу».
Зловживання полем Notes у календарних запрошеннях
Фішинговий текст вбудовується безпосередньо в поле Notes запрошення iCloud. Коли власник календаря додає зовнішніх учасників, Apple автоматично надсилає email-запрошення з домену email.apple.com від імені [email protected]. Таким чином зловмисники використовують довірений канал, який зазвичай не блокується контент-фільтрами.
Телефонний сценарій TOAD: соціальна інженерія та віддалений доступ
Після дзвінка за вказаним номером оператор переконує, що акаунт скомпрометовано, пропонує встановити «ПЗ для повернення коштів» або ініціює віддалене підключення. Наслідки — крадіжка коштів, встановлення малварі та ексфільтрація даних. Це класичний патерн телефонно-орієнтованих шахрайств, які обходять перевірки URL та песочниці, переводячи взаємодію в голосовий канал.
Чому листи проходять SPF, DKIM і DMARC
Дослідники відзначають, що розсилка часто націлена на адреси списків розсилки Microsoft 365, які автоматично ретранслюють запрошення всім учасникам групи. Пересилання зазвичай «ламає» SPF, однак Microsoft 365 застосовує Sender Rewriting Scheme (SRS) — переписує шлях зворотної доставки на власний домен, завдяки чому SPF проходить у кінцевого отримувача.
Роль DKIM і DMARC у ланцюгу доставки
Якщо під час пересилання зберігається валідний DKIM-підпис Apple та узгоджуються домени, то DMARC також може бути успішним. У поєднанні це створює видимість цілковитої легітимності повідомлень, хоча зміст у полі Notes фактично є фішинговим. Результат — висока доставлюваність і низька ймовірність спрацьовування антиспаму.
Контекст загрози: зростання телефонно-орієнтованих атак
Поточна кампанія перегукується з хвилею навесні 2025 року, коли «квитанції» розсилали саме на групові адреси Microsoft 365 для максимального охоплення. Галузеві звіти, зокрема скарги до IC3 (FBI), стабільно фіксують суттєві збитки від телефонних і псевдопідтримкових шахрайств — щороку йдеться про сотні мільйонів доларів. Частіше страждають користувачі старшого віку, що підкреслює важливість просвітницьких заходів.
Практичні рекомендації для користувачів, адміністраторів та SOC
Кінцевим користувачам: не телефонуйте за номерами з несподіваних «квитанцій». Перевіряйте транзакції виключно в офіційних застосунках або на сайтах сервісів (PayPal, банк), використовуйте перевірені канали підтримки. Ніколи не встановлюйте ПЗ чи не надавайте віддалений доступ за телефонним проханням.
Адміністраторам і SOC: обмежте доставку зовнішніх календарних запрошень на distribution lists у Microsoft 365 або відправляйте їх у карантин. Додайте транспортні правила для маркування/блокування шаблонів із «квитанціями» та номерами телефонів у полі Notes. Перегляньте allowlist-політики, щоб повідомлення з довірених доменів не оминали контент-фільтрацію.
Технічні заходи: вмикайте розбір і фільтрацію .ics (аналіз Notes), застосовуйте EDR/NGAV, AppLocker/WDAC, а також блокування небажаних інструментів віддаленої підтримки. Налаштуйте моніторинг подій, що починаються з телефонного контакту (неплановані інсталяції, RMM-компоненти), і регулярно проводьте тренінги з розпізнавання TOAD-атак та фішинг-симуляції.
BleepingComputer повідомив Apple про зловживання календарними запрошеннями; на момент публікації відповідь не була отримана. Оскільки зловмисники експлуатують довірену інфраструктуру та механізми SRS у поштових шлюзах, ключем до зниження ризиків стає жорсткіша контент-фільтрація, вибірковий прийом календарних інвайтів і сувора верифікація платежів. Побачили «квитанцію» з номером телефону? Перевірте операцію в особистому кабінеті сервісу та ігноруйте вказаний номер — це суттєво зменшує ефективність подібних схем.
