Une opération d'hameçonnage utilisant une invitation Calendrier d'iCloud

BleepingComputer, site spécialisé dans la sécurité décrit une nouvelle méthode d'hameçonnage déguisée en invitation iCloud pour Calendrier. Le mail reçu contient une invitation iCloud tout ce qu'il y a de plus légitime, mais le champ notes contient un message qui prévient le destinataire du retrait d'une somme conséquente sur son compte PayPal.

La personne est bien entendu invitée à appeler un numéro où il lui sera demandé de télécharger et installer une application pour régler cette situation. On connaît la suite.

La présentation du mail, mais aussi et surtout son adresse d'expédition peuvent donner un vernis de sérieux à cette missive, auprès d'une personne peu, ou modérément, méfiante. Le champ destinataire contient pour sa part une adresse de type Microsoft 365 qui se trouve appartenir aux auteurs de cette arnaque.

Ce message aurait dû être repéré par les méthodes d'authentification classiques, le trio DMARC, DKIM et SPF. Car le courriel est émis depuis une adresse iCloud en direction d'une adresse Microsoft 365 qui, elle-même, sert de liste de diffusion vers les adresses des véritables destinataires.

Ce ricochet aurait dû suffire à faire marquer ce message comme spam par les messageries. BleepingComputer explique cependant que Microsoft 365 a en fait reformulé automatiquement l'adresse iCloud en adresse Microsoft, permettant à la missive de donner l'impression qu'elle provient d'une même messagerie. La conclusion est la même que pour n'importe quelle opération d'hameçonnage : on ne répond pas à une demande d'invitation provenant d'une source non-identifiable.