Une nouvelle campagne de phishing exploite l’infrastructure d’iCloud Calendar pour envoyer de fausses alertes PayPal depuis les serveurs d’Apple. Résultat : des e-mails crédibles, quasi impossibles à filtrer, dans le but d’installer des logiciels malveillants.
iCloud Calendar devient une porte dérobée pour les cybercriminels
Des escrocs exploitent actuellement iCloud Calendar pour envoyer de faux e-mails de facturation PayPal. Le message prend la forme d’un événement iCloud, avec un texte piégé dans le champ « Notes ». L’e-mail, expédié depuis l’adresse officielle noreply@email.apple.com, semble légitime : il passe sans encombre les protections SPF, DKIM et DMARC, car il est bel et bien relayé par les serveurs d’Apple. Cela permet aux messages de contourner la majorité des filtres anti-phishing classiques.
Une mécanique bien huilée entre Apple et Microsoft 365
Les destinataires de ces invitations sont des adresses Microsoft 365 contrôlées par les attaquants, souvent des listes de diffusion. Une fois l’invitation envoyée depuis iCloud, elle est redistribuée automatiquement à tous les membres de la liste.
Visuel : Bleeping Computer
Microsoft applique alors son système SRS (Sender Rewriting Scheme) pour conserver la validité des e-mails transférés, ce qui permet à l’e-mail Apple d’apparaître authentique, même après redirection. Résultat : un e-mail Apple parfaitement propre sur le plan technique, mais totalement frauduleux.
Une fausse facture et un vrai piège téléphonique
Le message indique que le compte PayPal de la victime a été débité de 599 dollars. Pour toute réclamation, un numéro de téléphone est proposé. C’est le principe classique du callback phishing : le but est de pousser la cible à appeler.
Au bout du fil, un faux support technique tentera de convaincre l’utilisateur d’installer un logiciel de prise en main à distance, censé permettre un remboursement. En réalité, il s’agit d’un cheval de Troie visant à voler des données personnelles, des identifiants bancaires ou des crypto-wallets.
Heureusement pour nous, cette attaque est pour le moment très « anglophone » et ne devrait pas toucher trop d’utilisateurs grand public en France. La vigilance reste de mise : des groupes d’arnaqueurs plus localisés pourraient prendre le relais.
Comment se protéger de ce genre de campagne ?
Ce type de phishing n’est pas détecté par les filtres classiques, car il exploite des services fiables. Il faut donc tout miser sur votre vigilance : méfiez-vous des alertes urgentes, des numéros suspects et des messages inattendus, même s’ils proviennent d’adresses officielles. Ne jamais appeler un numéro fourni dans un e-mail douteux. Toujours vérifier via les sites ou applis officielles.
Et surtout, désactivez l’ajout automatique d’invitations dans les réglages de votre calendrier iCloud : c’est un bon début. On vous conseille également d’installer un VPN et un antivirus mac.
