הזמנות ליומן iCloud נוצלו לרעה לשליחת הודעות דוא"ל דיוג במסווה של הודעות רכישה ישירות משרתי הדוא"ל של אפל, מה שמגדיל את הסיכוי שהן עקפו מסנני דואר זבל והגיעו לתיבות הדואר הנכנס של הקורבנות. מוקדם יותר החודש שותף עם BleepingComputer דוא"ל שטען שהוא קבלה על תשלום בסך 599 דולר שחויבה מחשבון ה- PayPal של הנמען. דוא"ל זה כלל מספר טלפון אם הנמען רצה לדון בתשלום או לבצע בו שינויים: "שלום, חשבון ה- PayPal שלך חויב ב- 599.00 דולר. אנו מאשרים את קבלת התשלום שלך", נכתב בדוא"ל וכן נכתב: "אם ברצונך לדון בתשלום זה או לבצע שינויים בו, אנא צור קשר עם צוות התמיכה שלנו בטלפון".
מטרת האימיילים הללו היא להערים על הנמענים לחשוב שחשבון ה- PayPal שלהם חויב במרמה לצורך ביצוע רכישה ולהפחיד את מקבל האימייל ולהתקשר למספר הטלפון ל- "תמיכה" של פושעי הסייבר. כאשר מתקשרים למספר, מנסים פושעי הסייבר להפחיד את הנמען ולגרום לו לחשוב שחשבונו נפרץ, או שעליהם להתחבר למחשב שלו כדי לבצע החזר כספי. אז מתבקש הקורבן להוריד ולהפעיל תוכנה. יש לציין כי בהונאות קודמות כמו זו, גישה מרחוק כזו שימשה לגניבת כסף מחשבונות בנק, פריסת נוזקות או גניבת נתונים מהמחשב.
הפיתוי באימייל זה הינו הונאת דיוג טיפוסית של התקשרות חוזרת, אך מה שמוזר היה שהוא נשלח מ- [email protected] ועבר את בדיקות אבטחת הדוא"ל SPF, DMARC ו- DKIM, מה שמסמן שהוא הגיע באופן לגיטימי משרת הדוא"ל של אפל. האימייל הוא למעשה הזמנה ללוח השנה של iCloud, כאשר פושעי הסייבר כללו את טקסט הדיוג בשדה ההערות ולאחר מכן הזמינו כתובת דוא"ל של Microsoft 365 שבשליטתם. כאשר נוצר אירוע בלוח השנה של iCloud ומוזמנים אנשים חיצוניים, נשלחת הזמנה בדוא"ל משרתי Apple בכתובת email.apple.com תחת שמו של בעל לוח השנה של iCloud עם כתובת הדוא"ל [email protected].
בדומה למתקפת דיוג קודמת אשר השתמשה בתכונה 'כתובת חדשה' של PayPal, ההערכה היא שכתובת הדוא"ל של Microsoft 365 שאליה נשלחת ההזמנה היא למעשה רשימת תפוצה שמעבירה אוטומטית כל דוא"ל שהיא מקבלת לכל חברי הקבוצה האחרים. במקרה זה, חברי רשימת התפוצה הינם מטרות הונאת הדיוג. מכיוון שהדוא"ל נשלח בתחילה משרתי הדוא"ל של Apple, אם הוא מועבר על ידי Microsoft 365, הוא בדרך כלל ייכשל בבדיקות דוא"ל SPF. כדי למנוע זאת, משתמש Microsoft 365 ב- Sender Rewriting Scheme (SRS) כדי לכתוב מחדש את נתיב ההחזרה לכתובת המשויכת ל- Microsoft, מה שמאפשר לו לעבור בדיקות SPF.
בעוד שאין שום דבר מיוחד בפיתוי הדיוג עצמו, ניצול לרעה של תכונת ההזמנה הלגיטימית של iCloud Calendar, שרתי הדוא"ל של Apple וכתובת דוא"ל של Apple – מוסיף תחושה של לגיטימציה לדוא"ל וגם מאפשר לו לעקוף מסנני דואר זבל כיוון שהוא מגיע ממקור מהימן.
חשוב להבין כי אם אתם מקבלים הזמנה בלתי צפויה ללוח שנה עם הודעה מוזרה בתוכה, יש להתייחס אליה בזהירות רבה.
