Tội phạm mạng đã phát hiện ra một phương thức tinh vi để khai thác hạ tầng đáng tin cậy của Apple, sử dụng lời mời iCloud Calendar để gửi email lừa đảo thành công vượt qua các biện pháp bảo mật truyền thống. Mối đe dọa mới nổi này tận dụng sự tin tưởng vốn có đối với máy chủ email của Apple để tiếp cận hộp thư đến của nạn nhân mà không bị phát hiện.
Cách thức hoạt động của lỗ hổng Calendar
Cơ chế tấn công này đơn giản một cách lừa dối nhưng lại cực kỳ hiệu quả. Kẻ lừa đảo tạo ra các sự kiện iCloud Calendar hợp pháp và nhúng nội dung độc hại vào trường ghi chú của sự kiện. Khi những lời mời lịch này được gửi đi, chúng xuất phát từ máy chủ email chính thức của Apple, cụ thể là từ địa chỉ [email protected]. Nguồn gốc hợp pháp này cho phép các thông điệp vượt qua các kiểm tra xác thực email quan trọng bao gồm các giao thức SPF, DKIM và DMARC, được thiết kế để xác minh tính xác thực của người gửi.
Đặc điểm Vector Tấn công:
- Nguồn gốc: [email protected] (máy chủ Apple chính thức)
- Phương thức vượt qua: Kiểm tra xác thực SPF, DKIM và DMARC
- Mục tiêu chính: Chủ tài khoản PayPal
- Số tiền giả mạo: 599 USD
- Phương thức phân phối: Danh sách gửi thư Microsoft 365 với Sender Rewriting Scheme
Kế hoạch mạo danh PayPal
Làn sóng tấn công hiện tại chủ yếu nhắm vào người dùng với các thông báo thanh toán PayPal giả mạo. Nạn nhân nhận được lời mời lịch có tiêu đề Purchase Invoice tuyên bố tài khoản PayPal của họ đã bị tính phí 599 đô la Mỹ cho một giao dịch trái phép. Thông điệp lừa đảo tạo ra sự cấp bách bằng cách hướng dẫn người nhận gọi đến số hỗ trợ được cung cấp để tranh chấp, sửa đổi hoặc hủy khoản thanh toán được cho là có. Điều này thể hiện cách tiếp cận lừa đảo gọi lại, nơi mục tiêu cuối cùng là khiến nạn nhân gọi điện thoại thay vì nhấp vào các liên kết độc hại.
Phân phối nâng cao thông qua Microsoft 365
Các nhà nghiên cứu bảo mật đã xác định một lớp tinh vi bổ sung trong chiến dịch này. Kẻ tấn công đang sử dụng các địa chỉ email Microsoft 365 được cấu hình làm danh sách gửi thư để mở rộng phạm vi tiếp cận của họ. Lời mời lịch đầu tiên được gửi đến một địa chỉ do Microsoft kiểm soát, sau đó tự động chuyển tiếp thông điệp đến nhiều người nhận trong nhóm. Sender Rewriting Scheme của Microsoft duy trì tính hợp pháp rõ ràng của thông điệp trong suốt quá trình chuyển tiếp này, càng tăng cường độ tin cậy của vụ lừa đảo.
Quá trình lừa đảo gọi lại
Một khi nạn nhân gọi đến số hỗ trợ lừa đảo, những kẻ lừa đảo được đào tạo sẽ cố gắng trích xuất thông tin cá nhân nhạy cảm hoặc thuyết phục người dùng tải xuống phần mềm truy cập từ xa. Dưới cái cớ xử lý hoàn tiền, những tên tội phạm này giành quyền kiểm soát thiết bị của nạn nhân, có thể dẫn đến trộm cắp tài chính, cài đặt phần mềm độc hại hoặc vi phạm dữ liệu toàn diện. Áp lực tâm lý được áp dụng trong những cuộc gọi này thường áp đảo sự hoài nghi tự nhiên của người dùng.
Tác động bảo mật và thách thức phát hiện
Vector tấn công này đặt ra những thách thức đáng kể đối với các biện pháp an ninh mạng truyền thống. Vì các email xuất phát từ máy chủ hợp pháp của Apple, chúng xuất hiện xác thực đối với cả hệ thống bảo mật tự động và người nhận. Việc lạm dụng hạ tầng đáng tin cậy có nghĩa là ngay cả các tổ chức có bộ lọc email mạnh mẽ cũng có thể gặp khó khăn trong việc xác định những mối đe dọa này. Các giải pháp chống virus hiện tại và hệ thống bảo vệ ransomware không được thiết kế đặc biệt để giải quyết loại lạm dụng hạ tầng này.
Chiến lược bảo vệ cho người dùng
Các chuyên gia bảo mật khuyến nghị đối xử với tất cả lời mời lịch bất ngờ với sự thận trọng tối đa, đặc biệt là những lời mời đề cập đến các giao dịch tài chính hoặc vấn đề tài khoản khẩn cấp. Người dùng không bao giờ nên gọi các số điện thoại được cung cấp trong lời mời lịch đáng ngờ. Thay vào đó, nếu lo lắng về bảo mật tài khoản, cá nhân nên đăng nhập trực tiếp vào tài khoản PayPal hoặc ngân hàng hợp pháp của họ thông qua các trang web hoặc ứng dụng chính thức để xác minh bất kỳ giao dịch được tuyên bố nào.
Danh sách kiểm tra bảo vệ an ninh:
- Không bao giờ gọi đến các số điện thoại từ lời mời lịch bất ngờ
- Chỉ xác minh hoạt động tài khoản thông qua các trang web/ứng dụng chính thức
- Xóa các lời mời lịch đáng nghi mà không tương tác
- Giữ thiết bị được cập nhật với các bản vá bảo mật mới nhất
- Sử dụng phần mềm diệt virus toàn diện có khả năng loại bỏ phần mềm độc hại
- Thực hiện kiểm tra bảo mật hệ thống định kỳ
Phản hồi của Apple và tác động tương lai
Apple chưa đưa ra tuyên bố công khai nào giải quyết việc lạm dụng cụ thể hạ tầng lịch của họ. Công ty đối mặt với thách thức duy trì sự tiện lợi của các tính năng chia sẻ lịch trong khi ngăn chặn khai thác độc hại. Cho đến khi các biện pháp bảo vệ mạnh mẽ hơn được triển khai, trách nhiệm xác định những mối đe dọa này chủ yếu thuộc về người dùng cuối và các chương trình nhận thức bảo mật của tổ chức họ.