Alors qu'Apple présentera ce soir la dernière génération de ses iPhone, la société doit trouver le moyen d'enrailler de nouvelles campagnes de phishing. Cette fraude exploite les mécanismes d’invitation du calendrier d’Apple pour échapper aux systèmes de filtrage classiques.
Rien n'arrête les cybercriminels et cette fois, ils exploitent les invitations iCloud Calendar pour diffuser librement leurs tentatives de scam, notamment liées à la cryptomonnaie et au “callback phishing”, invitant la victime à appeler un numéro de téléphone frauduleux.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
iCloud Calendar détourné par les hackers
Les acteurs malveillants s’invitent directement dans votre agenda en exploitant le partage d’événements iCloud. Le mode opératoire est plutôt futé : un scammer crée un événement bidon puis vous rajoute à la liste des participants. Dans cette invitation, il a pris soin de remplir le champ “notes” avec messages alléchants orientés crypto ou en y plaçant des instructions pointant vers de faux sites d’investissement,
Le souci ? L’invitation est envoyée via les serveurs Apple (“noreply@email.apple.com”). Elle passe donc tous les contrôles SPF, DKIM, DMARC, et atterrit en pleine boîte de réception sans alerter.
Comme le rapporte BleepingComputer, c'est encore pire quand cette invitation a été envoyée à un alias collectif (eg. communication@societe.fr) ou une liste de diffusion sur Microsoft 365. Tous les membres du groupe reçoivent automatiquement l’invitation. Or dans ce genre de cas, quand un message est redirigé ou transféré vers plusieurs adresses email personnelles, le Sender Rewriting Scheme (SRS) retravaille l’adresse de l’expéditeur dans l’enveloppe technique du message. Les contrôles de sécurité SPF valident le message puisque celui-ci semble provenir du domaine relais et non de l’expéditeur initial. Impossible alors de bloquer ce dernier.
En plus de ces scénarios crypto, des attaques exploitent l’invitation iCloud pour simuler des reçus d’achats non autorisés, incitant à contacter un centre d’assistance frauduleux (“callback phishing”). Au téléphone, les victimes sont poussées à compromettre leurs identifiants ou autoriser des connexions à distance. Dans le doute, Il vaut mieux donc activer l'authentification à deux facteurs.
Cette même technique a été utilisée sur Google Agenda en fin d'année dernière. On estime plus de 300 établissements d’enseignement, services de santé, entreprises de construction et banques ont été ciblés, et 4 000 mails frauduleux ont été envoyés en quatre semaines seulement.
