Được biết, iCloud Calendar là ứng dụng lịch trực tuyến của Apple, cho phép người dùng tạo và quản lý các sự kiện, lịch hẹn, lời nhắc trên các thiết bị Apple của mình, đồng thời đồng bộ hóa chúng với nhau thông qua đám mây iCloud. Ứng dụng này giúp người dùng theo dõi lịch trình và không bỏ lỡ bất kỳ sự kiện quan trọng nào bằng cách tự động cập nhật thông tin trên tất cả các thiết bị liên kết tài khoản iCloud.

Đầu tháng này, một người đã chia sẻ về việc đã nhận được một biên lai thanh toán 599 đô la Mỹ được trừ vào tài khoản PayPal của mình. Email này bao gồm số điện thoại nếu người nhận muốn thảo luận về khoản thanh toán hoặc thực hiện thay đổi. "Xin chào Quý khách, Tài khoản PayPal của Quý khách đã bị tính phí 599 đô la Mỹ. Chúng tôi đang xác nhận đã nhận được khoản thanh toán gần đây của Quý khách", email viết.

"Nếu Quý khách muốn thảo luận hoặc thay đổi khoản thanh toán này, vui lòng liên hệ với nhóm hỗ trợ của chúng tôi theo số +1 +1 (786) 902-8579. Liên hệ với chúng tôi để hủy +1 (786) 902-8579", email tiếp tục.

Mục đích của những email này là lừa người nhận nghĩ rằng tài khoản PayPal của họ đã bị trừ tiền gian lận để mua hàng và nhắn người nhận email gọi đến số điện thoại "hỗ trợ" của kẻ lừa đảo.

Khi gọi đến số điện thoại này, kẻ lừa đảo sẽ cố gắng hù dọa để bạn nghĩ rằng tài khoản của mình đã bị hack hoặc chúng cần kết nối với máy tính của bạn để bắt đầu hoàn tiền, yêu cầu bạn tải xuống và chạy phần mềm.

Tuy nhiên, trong những vụ lừa đảo trước đây như thế này, quyền truy cập từ xa này đã được sử dụng để đánh cắp tiền từ tài khoản ngân hàng, triển khai phần mềm độc hại hoặc đánh cắp dữ liệu từ máy tính.

Lạm dụng lời mời từ iCloud Calendarđể gửi email

Mồi nhử trong email này là một trò lừa đảo gọi lại điển hình, nhưng điều kỳ lạ là nó được gửi từ noreply@email.apple.com, vượt qua các kiểm tra bảo mật email SPF, DMARC và DKIM, cho thấy nó thực sự đến từ máy chủ thư của Apple.

Kết quả xác thực: spf=pass (IP người gửi là 17.23.6.69)

smtp.mailfrom=email.apple.com; dkim=pass (chữ ký đã được xác minh)

header.d=email.apple.com;dmarc=pass action=none header.from=email.apple.com;

Như bạn có thể thấy từ email lừa đảo ở trên, email này thực chất là lời mời tham gia iCloud Calendar, trong đó kẻ tấn công đã chèn văn bản lừa đảo vào trường Ghi chú và sau đó mời một địa chỉ email Microsoft 365 mà chúng kiểm soát.

Khi sự kiện iCloud Calendar được tạo và người bên ngoài được mời, một email mời sẽ được gửi từ máy chủ của Apple tại địa chỉ email.apple.com, trong đó tên chủ sở hữu iCloud Calendar với địa chỉ email "noreply@email.apple.com". Có thể thấy, lời mời được gửi đến một tài khoản Microsoft 365, "Billing3@WilliamerDickinsonerLTD.onmicrosoft.com".

Tương tự như một chiến dịch lừa đảo trước đây sử dụng tính năng "Địa chỉ mới" của PayPal, người ta tin rằng địa chỉ email Microsoft 365 mà lời mời được gửi đến thực chất là một danh sách gửi thư tự động chuyển tiếp bất kỳ email nào nhận được đến tất cả các thành viên khác trong nhóm.

Trong trường hợp này, các thành viên trong danh sách gửi thư là mục tiêu của trò lừa đảo.

Vì email ban đầu được khởi tạo từ máy chủ email của Apple, nên nếu được chuyển tiếp bởi Microsoft 365, nó thường sẽ không vượt qua được các kiểm tra SPF.

Để ngăn chặn điều này, Microsoft 365 sử dụng Sơ đồ viết lại người gửi (SRS) để viết lại đường dẫn Trả về đến một địa chỉ được liên kết với Microsoft, cho phép nó vượt qua các kiểm tra SPF.

Đường dẫn trả về ban đầu: noreply@email.apple.com

Đường dẫn trả về được viết lại: bounces+SRS=8a6ka=3I@williamerdickinsonerltd.onmicrosoft.com

Mặc dù trò lừa đảo này không có gì đặc biệt, nhưng việc lạm dụng tính năng mời iCloud Calendar hợp pháp, máy chủ email của Apple và địa chỉ email Apple đã tạo thêm cảm giác hợp pháp cho email và cũng cho phép nó vượt qua các bộ lọc thư rác vì nó đến từ một nguồn đáng tin cậy.

Theo nguyên tắc chung, nếu nhận được lời mời Calendar bất ngờ với nội dung lạ, bạn nên cẩn thận.

Hiện Apple vẫn chưa đưa ra bất cứ phản hồi nào cho vấn đề email nói trên.

Hà Linh