De agenda binnen iCloud blijkt een nieuw doelwit te zijn voor cybercriminelen die phishingcampagnes uitvoeren. Onderzoekers signaleren dat uitnodigingen vanuit Apple’s agenda worden misbruikt om frauduleuze e-mails te versturen die zich voordoen als betalingsmeldingen.
Dat schrijft BleepingComputer, dat meldingen kreeg van slachtoffers. De oplichters sturen een uitnodiging die lijkt op een gewone agendamelding, maar in de notities staat een bericht dat zogenaamd afkomstig is van PayPal. Daarin wordt beweerd dat er een bedrag van 599 dollar in rekening is gebracht en dat de ontvanger moet bellen naar een opgegeven telefoonnummer om dit te corrigeren. Wie belt, krijgt een zogenaamde medewerker aan de lijn die probeert de beller te overtuigen dat het account is gehackt of dat er software moet worden geïnstalleerd om zogenaamd een terugbetaling mogelijk te maken. In werkelijkheid gaat het om een poging om toegang te krijgen tot de computer of bankgegevens van het slachtoffer.
Wat de aanval bijzonder maakt, is dat de mails niet vanaf obscure servers komen. Ze worden rechtstreeks via Apple’s infrastructuur verzonden. Het afzenderadres noreply@email.apple.com passeert moeiteloos de gebruikelijke beveiligingscontroles zoals SPF, DMARC en DKIM. Daardoor lijkt de uitnodiging legitiem en neemt de kans toe dat spamfilters het bericht doorlaten.
Berichten moeilijk te blokkeren
Volgens de analyse van BleepingComputer wordt er een Microsoft 365-adres gebruikt als doorgeefluik. Dit adres is waarschijnlijk onderdeel van een mailinglijst die de uitnodigingen automatisch doorstuurt naar meerdere ontvangers. Microsoft herschrijft vervolgens de retouradressen via het Sender Rewriting Scheme. Zo komen de berichten alsnog door de authenticatiecontroles. Het gevolg is dat de fraudeberichten niet alleen geloofwaardig lijken, maar ook technisch gezien moeilijk te blokkeren zijn.
Hoewel het phishingconcept zelf niet nieuw is, zorgt de combinatie van Apple’s legitieme agenda-uitnodigingen en Microsofts doorstuurmechanisme voor een geloofwaardige façade. Daarmee tonen cybercriminelen opnieuw aan dat ze creatieve manieren vinden om bestaande functies van grote technologiebedrijven te misbruiken voor fraude. Apple heeft volgens BleepingComputer niet gereageerd op vragen over dit misbruik.