Das Online-Magazin Bleeping Computer berichtet über eine neue Masche, bei der Cyberkriminelle iCloud-Kalendereinladungen für einen sogenannten Callback-Phishing-Scam nutzen. Die verschickten E-Mails tarnen sich dabei als Kaufbenachrichtigung und bitten um einen Rückruf. Da diese E-Mails scheinbar direkt von Apples eigenen Servern kommen, gelingt es den Hackern so, auch Spam-Filter zu umgehen und sich in die Posteingänge ihrer Opfer zu schmuggeln.
Aufmerksam wurde die Redaktion auf die Phishing-Kampagne durch den Hinweis eines Lesers. Dieser hatte eine E-Mail erhalten, die sich als Beleg für eine Zahlung von 599 US-Dollar via PayPal ausgab. Darin enthalten war auch eine Telefonnummer, die man anrufen sollte, falls man Details zur Zahlung benötigt oder Änderungen vornehmen möchte. Verschickt wurde diese E-Mail als Einladung für den iCloud-Kalender mit dem Ziel, den Empfänger zu einem Anruf bei den angegebenen Nummern zu bewegen. Der eigentliche Phishing-Text wurde in den Notizen zum Termin platziert.
Fällt das Opfer auf diesen Trick herein, landet es bei einer vermeintlichen Support-Hotline, wo einer der Betrüger versucht, es davon zu überzeugen, dass sein PayPal-Account gehackt wurde und dass er (der Scammer) Zugriff auf den Computer des Opfers brauche, um eine Rückerstattung zu veranlassen. Dazu soll das Opfer eine Software herunterladen und installieren. Dieser Fernzugriff kann dann dazu genutzt werden, Malware nachzuladen oder Daten zu stehlen.
Soweit handelt es sich bei der neuen Kampagne weitgehend um eine Standard-Variante eines Callback-Phishing-Scams. Was sie jedoch herausstechen lässt, ist die Tatsache, dass die E-Mails von noreply@email.apple.com verschickt wurden und zahlreiche Sicherheitschecks durchlaufen konnten, ohne als Phishing-Versuch aufzufallen.
Wie bereits erwähnt, handelt es sich bei der E-Mail eigentlich um eine Einladung über den iCloud-Kalender, in der der Angreifer den Phishing-Text in das Feld „Notizen“ eingefügt und dann eine von ihm kontrollierte Microsoft 365-E-Mail-Adresse eingeladen hat. Über diese werden dann weitere externe Personen eingeladen. Sie erhalten dann eine E-Mail-Einladung von den Servern von Apple unter email.apple.com im Namen des iCloud-Kalenderbesitzers mit der E-Mail-Adresse „noreply@email.apple.com“. Es wird vermutet, dass es sich bei der verwendeten Microsoft 365-E-Mail-Adresse um eine Mailingliste handelt, die alle eingehenden E-Mails automatisch an alle anderen Gruppenmitglieder, also an die Opfer des Phishing-Versuchs, weiterleitet.
Auf diese Weise schaffen es die Kriminellen, standardmäßige Sicherheitschecks zu umgehen und nicht von Spam-Filtern ausgesiebt zu werden. Es ist daher ratsam, unerwartete Kalender-Einladungen und seltsame Nachrichten mit Vorsicht zu behandeln und niemals Software aus unbekannten Quellen herunterzuladen, nur weil ein obskurer Kundendienst dazu rät.
Aufmerksam wurde die Redaktion auf die Phishing-Kampagne durch den Hinweis eines Lesers. Dieser hatte eine E-Mail erhalten, die sich als Beleg für eine Zahlung von 599 US-Dollar via PayPal ausgab. Darin enthalten war auch eine Telefonnummer, die man anrufen sollte, falls man Details zur Zahlung benötigt oder Änderungen vornehmen möchte. Verschickt wurde diese E-Mail als Einladung für den iCloud-Kalender mit dem Ziel, den Empfänger zu einem Anruf bei den angegebenen Nummern zu bewegen. Der eigentliche Phishing-Text wurde in den Notizen zum Termin platziert.
Fällt das Opfer auf diesen Trick herein, landet es bei einer vermeintlichen Support-Hotline, wo einer der Betrüger versucht, es davon zu überzeugen, dass sein PayPal-Account gehackt wurde und dass er (der Scammer) Zugriff auf den Computer des Opfers brauche, um eine Rückerstattung zu veranlassen. Dazu soll das Opfer eine Software herunterladen und installieren. Dieser Fernzugriff kann dann dazu genutzt werden, Malware nachzuladen oder Daten zu stehlen.
Soweit handelt es sich bei der neuen Kampagne weitgehend um eine Standard-Variante eines Callback-Phishing-Scams. Was sie jedoch herausstechen lässt, ist die Tatsache, dass die E-Mails von noreply@email.apple.com verschickt wurden und zahlreiche Sicherheitschecks durchlaufen konnten, ohne als Phishing-Versuch aufzufallen.
Wie bereits erwähnt, handelt es sich bei der E-Mail eigentlich um eine Einladung über den iCloud-Kalender, in der der Angreifer den Phishing-Text in das Feld „Notizen“ eingefügt und dann eine von ihm kontrollierte Microsoft 365-E-Mail-Adresse eingeladen hat. Über diese werden dann weitere externe Personen eingeladen. Sie erhalten dann eine E-Mail-Einladung von den Servern von Apple unter email.apple.com im Namen des iCloud-Kalenderbesitzers mit der E-Mail-Adresse „noreply@email.apple.com“. Es wird vermutet, dass es sich bei der verwendeten Microsoft 365-E-Mail-Adresse um eine Mailingliste handelt, die alle eingehenden E-Mails automatisch an alle anderen Gruppenmitglieder, also an die Opfer des Phishing-Versuchs, weiterleitet.
Auf diese Weise schaffen es die Kriminellen, standardmäßige Sicherheitschecks zu umgehen und nicht von Spam-Filtern ausgesiebt zu werden. Es ist daher ratsam, unerwartete Kalender-Einladungen und seltsame Nachrichten mit Vorsicht zu behandeln und niemals Software aus unbekannten Quellen herunterzuladen, nur weil ein obskurer Kundendienst dazu rät.
