Une nouvelle vague d’arnaques par phishing sévit, utilisant les invitations du calendrier d’iCloud pour envoyer de faux e-mails de notification de paiement depuis les serveurs d’Apple. Cette méthode, qui contourne les filtres anti-spam grâce à l’apparente légitimité des e-mails, représente une menace sérieuse pour les utilisateurs.

Invitation Calendrier iCloud Arnaque Phishing

Une fausse facture PayPal pour piéger les victimes

Des utilisateurs ont reçu des e-mails prétendant confirmer un paiement de 599 dollars débité de leur compte PayPal. « Bonjour cher client, votre compte PayPal a été débité de 599 $. Nous confirmons la réception de votre récent paiement », indique le message. Il invite les destinataires à appeler un numéro de téléphone pour discuter ou modifier ce paiement. L’objectif est d’inciter les victimes, paniquées par un supposé débit frauduleux, à appeler ce numéro.

En contactant cette « assistance », les victimes tombent sur des escrocs qui les effraient en prétendant que leur compte a été piraté ou qu’une connexion à leur ordinateur est nécessaire pour effectuer un remboursement. Ces appels incitent souvent à télécharger une application qui peut servir à voler des fonds bancaires, déployer des malwares ou extraire des données personnelles.

Une exploitation astucieuse des serveurs Apple

Ce qui rend cette arnaque particulièrement trompeuse, c’est son origine : les e-mails proviennent directement des serveurs d’Apple, sous l’adresse noreply@email.apple.com, et passent les vérifications de sécurité SPF, DMARC et DKIM. En réalité, les escrocs exploitent la fonction d’invitation du calendrier d’iCloud. Ils insèrent le texte frauduleux dans le champ « Notes » d’une invitation, puis invitent une adresse e-mail Microsoft 365 qu’ils contrôlent. Lorsqu’une invitation est envoyée à une personne externe, un e-mail est généré depuis les serveurs d’Apple, donnant une apparence légitime au message.

Les escrocs utilisent une liste de diffusion Microsoft 365 pour transmettre l’e-mail à leurs cibles. Pour éviter un échec des vérifications SPF, Microsoft 365 réécrit le chemin de retour via le Sender Rewriting Scheme (SRS), ce qui permet au message de passer les contrôles de sécurité. Cette méthode, combinée à l’utilisation d’une source fiable comme Apple, augmente les chances que l’e-mail échappe aux filtres anti-spam de Gmail, Outlook et les autres messageries.

Bien que l’appât de cette arnaque soit classique, son exécution via les invitations du calendrier d’iCloud et les serveurs d’Apple lui confère une crédibilité dangereuse. Ce n’est pas la première fois qu’une fonctionnalité légitime est détournée : une campagne similaire avait exploité la fonction « Nouvelle adresse » de PayPal. Contacté par BleepingComputer, Apple n’a pas encore répondu à ce sujet.