Der iCloud-Kalender-Betrug: So kommen gefälschte Belege durch

  • Angreifer verwenden iCloud-Kalendereinladungen, um legitim erscheinende E-Mails zu versenden.
  • Nachrichten stammen von email.apple.com und bestehen SPF, DKIM und DMARC; die Weiterleitung mit SRS in Microsoft 365 behält die Authentifizierung bei.
  • Der übliche Köder ist eine gefälschte PayPal-Quittung über 599 $ mit einer „Support“-Nummer, um die Leute zum Anrufen zu verleiten.
  • Empfehlungen: Rufen Sie nicht an, verifizieren Sie über offizielle Kanäle, deaktivieren Sie die automatische Annahme und verstärken Sie die Sicherheitsmaßnahmen.
Alberto Navarro

5 Minuten

iCloud-Kalender-Phishing-Betrug

Ein Anstieg der E-Mails von Phishing-Schemata, die als Einladungen getarnt sind Aus dem iCloud-Kalender schleichen sich Nachrichten in Ihre Posteingänge, als wären sie legitime Kaufbenachrichtigungen. Dieser Trick ist besonders effektiv, da die Nachrichten aus der Infrastruktur von Apple stammen und so die Chancen erhöhen, reguläre Spamfilter zu umgehen.

Der häufigste Köder ist eine angebliche PayPal-Gebühr von 599 US-Dollar, begleitet von einer „Support“-Telefonnummer. Ruft das Opfer an, setzt das gefälschte Support-Team es mit Geschichten über kompromittierte Konten unter Druck und bietet an, Software zu installieren oder Fernzugriff zu gewähren. Dieser Schritt führt oft dazu, Gelddiebstahl, Malware oder Datenlecks.

Was passiert und warum es wichtig ist

iCloud-Kalender-Phishing

Aktuelle Forschungen beschreiben, wie diese Einladungen von noreply@email.apple.com (Domäne email.apple.com) kommen und problemlos passieren SPF, DKIM und DMARCDer Trick besteht darin, ein Ereignis im iCloud-Kalender zu erstellen, den irreführenden Text in das Notizenfeld einzuschleusen und das System selbst die Benachrichtigung senden zu lassen.

In einem analysierten Fall erhielt das Opfer eine PayPal-Quittung über 599 US-Dollar mit einer Nummer zur Abwicklung der vermeintlichen Zahlung. In Wirklichkeit handelt es sich um eine Variante von Rückruf-Phishing (Rückruf), dessen Zweck darin besteht, Sie aus der E-Mail zu entfernen und das Gespräch auf einen vom Betrüger kontrollierten Telefonkanal zu verlagern.

Um den Rahmen zu erweitern, laden die Schauspieler eine Regie ein von Microsoft 365 unter Ihrer Kontrolle, die als Verteilerliste fungiert und die Einladung an mehrere Ziele weiterleitet; ein Beispiel ist „Billing3@WilliamerDickinsonerLTD.onmicrosoft.com“ bekannt. Auf diese Weise wird ein einzelnes Ereignis mit einer einzigen Sendung an mehrere Konten weitergeleitet.

Diese Weiterleitung unterbricht normalerweise die SPF-Validierung, aber Microsoft erzwingt die Sender-Rewriting-Schema (SRS), wobei der Rückpfad auf eine proprietäre Adresse umgeschrieben wird, sodass die Nachricht die Überprüfung trotzdem besteht. Das Ergebnis: Eine E-Mail, die scheinbar von Apple stammt, über legitime Kanäle reist und auch nach der Verbreitung in Gruppen den Anschein einer Authentifizierung aufrechterhält.

Wie der iCloud-Kalender für Täuschungen missbraucht wird

Betrug erfordert keine Raffinesse: nur ein Ereignis generieren Fügen Sie in iCloud die Nachricht „Rechnung“ oder „Sicherheitshinweis“ in das Feld „Notizen“ ein und laden Sie externe Konten ein. Die Einladung stammt von den Servern von Apple, sodass Filter die Kommunikation als vertrauenswürdige Quelle interpretieren.

Sobald die Nachricht eintrifft, werden Sie im Text aufgefordert, eine Nummer anzurufen, um die Zahlung abzubrechen oder die Aktivität zu bestätigen. Im Anruf bitten die Betrüger Sie, Remote-Access-Tools zu installieren oder Support-Software auszuführen. Dieser Zugriff ermöglicht ihnen Folgendes: Zugangsdaten stehlen, Konten leeren oder Schadsoftware auf dem Computer platzieren.

Ein wiederkehrendes Problem mit neuen Themen

Spam im Kalender

Spam im Apple-Kalender ist nichts Neues: Er ist seit Jahren in Wellen unterwegs, was Apple dazu veranlasste, Optionen wie „Junk melden“ auf iCloud.com einzuführen. Die Taktik ist in ihrer ursprünglichen Form zurückgekehrt, und neben den gefälschten Käufen sind auch Betrüger aufgetaucht. Krypto-Thema (Gewinnspiele, Express-Investitionen oder Wallet-Verifizierungen), die zu Phishing-Seiten führen.

Diese Sendungen sind besonders ärgerlich, weil sie auf legitime Server Und wenn der Benutzer unvorsichtig interagiert (z. B. durch Akzeptieren oder Antworten), kann er bestätigen, dass sein Postfach aktiv ist, was tendenziell mehr Spam anzieht. Die aktuellen Maßnahmen helfen zwar, stellen aber Begrenztheit wenn die Einladung unterschrieben und beglaubigt eintrifft.

Klare Anzeichen für Thymus

  • Künstliche Dringlichkeit: Hohe Beträge und unmittelbare Fristen zwingen zu einem Anruf.
  • Allgemeine Begrüßungen und vage Angaben: „Hallo Kunde“ statt Ihres Namens, vage Daten oder inkonsistent.
  • Seltsame Telefonnummern: wiederholte Vorwahlen (z. B. +1 Duplikat) oder Nummern, die nicht mit Ihrem Land übereinstimmen.
  • Dubiose Empfänger: Die Einladung scheint an einen Gruppe oder Liste anstatt an Ihre Adresse.
  • Anweisungen zum Anrufen oder Installieren von „Support“-Software anstelle der Überprüfung durch offizielle Kanäle.

So schützen Sie sich

  • Rufen Sie nicht an an in der Einladung enthaltene Nummern: Wenn Sie eine Belastung vermuten, melden Sie sich über die offizielle Website oder App bei Ihrem Konto (PayPal, Bank) an.
  • Ausschalten automatische Addition von Einladungen im Kalender und überprüfen Sie manuell, was hinzugefügt wird.
  • Markieren als Müll verdächtige Einladungen in iCloud und vermeiden Sie das Klicken auf Links innerhalb der Veranstaltung.
  • Activa MFA/2FA in Ihren wichtigsten Diensten und halten Sie das System auf dem neuesten Stand, um die Auswirkungen zu verringern, wenn etwas durch das Netz schlüpft.
  • Wenn Sie eine gefälschte PayPal-Quittung erhalten, leiten Sie diese bitte weiter an phishing@paypal.com und löschen Sie es, ohne zu interagieren; und wenn der Betrug betrügerische Apps enthält, überprüfen Sie So melden Sie gefälschte Apps im App Store.

Was eine Organisation beantragen kann

In Unternehmensumgebungen ist es ratsam, Anti-Phishing- und Vishing-Schulung mit technischen Kontrollen: Verschärfung der Regeln für externe Einladungen, Sperrung von Selbstabonnements für Kalender und Auditing Verteilerlisten das in großem Maßstab vorantreiben.

Mail-Gateways sollten die DMARC-Ausrichtung nach dem SRS-Rewrite validieren, anomale Einladungen unter Quarantäne stellen und Erkennungen verwenden, die Authentifizierungssignale mit Indikatoren für Social Engineering (Notfall, Telefon, Fernzugriffsanfragen).

Technischer Kenntnisstand und Reaktionen

Die Wirksamkeit dieser Kampagne liegt in einer bestimmten Kombination: Ursprung von email.apple.com, betrügerischer Text im Notizfeld der Einladung und Weiterleitung über Microsoft 365-Gruppen mit SRS, die den Anschein einer Authentifizierung wahren. Es ist nicht der Köder, der glänzt, sondern die Verwendung von legitime Infrastruktur um Glaubwürdigkeit zu gewinnen.

Fachmedien haben versucht, von Apple eine Stellungnahme zum Missbrauch des Einladungssystems zu erhalten. Bisher ist jedoch keine öffentliche Reaktion eingegangen. Experten weisen darauf hin, dass Cyberkriminelle das System zunehmend ausnutzen. zuverlässige Plattformen (u. a. Apple, Microsoft, Google), um Filter zu umgehen und das Opfer zu Remote-Anrufen oder -Zugriffen umzuleiten.

Obwohl diese E-Mails durch technische Authentifizierungen „abgestempelt“ werden, macht es den Unterschied, mit kühlen Kopf: Vorsicht in Notfällen, die Kontrolle offizieller Portale und die Begrenzung automatisierter Einladungen helfen, Betrug im Keim zu ersticken, der sich aufgrund seines legitimen Anscheins leichter einschleicht als gewünscht.

So melden Sie gefälschte Apps im App Store
Verwandte Artikel:
So melden Sie gefälschte Apps im App Store: Schritte, Rückerstattungen und Sicherheit