在數位時代，網路釣魚攻擊不斷演變，駭客總是尋找新的管道與手法，以規避日益嚴格的資安防護。近期浮現的一種新型網路釣魚詐騙，便是利用Apple的iCloud行事曆邀請功能，成功從Apple官方郵件伺服器發送看似真實的詐騙電子郵件，這使得傳統的電子郵件安全檢查形同虛設，對用戶構成嚴重的威脅。

這種詐騙手法的巧妙之處在於，攻擊者並非透過惡意網站或偽造的郵件地址發送，而是直接濫用Apple的合法服務。攻擊者利用iCloud行事曆的「分享」功能，在邀請的備註欄位中加入詐騙訊息。當他們將邀請發送到一個專為攻擊目的建立的郵寄名單後，Apple的郵件伺服器便會自動向名單上的所有成員發送行事曆邀請通知。

由於這些電子郵件確實來自Apple的官方伺服器，因此它們能夠輕易通過 SPF、DMARC 和 DKIM 等所有電子郵件安全檢查，這使得郵件能夠直接進入收件人的收件匣，而不是被標記為垃圾郵件。這項特性大幅增加了詐騙的成功率，因為大多數人對來自蘋果官方的通知都會放下戒心。

本月初，一位讀者向 BleepingComputer分享了一封電子郵件，聲稱這是一張 599 美元的付款收據，收款人將從其 PayPal 帳戶中扣款。這封郵件的誘惑力十足，是典型的回調釣魚詐騙，但奇怪的是，它是從 noreply@email.apple.com 發來的，通過了 SPF、DMARC 和 DKIM 電子郵件安全檢查，表明它合法地來自蘋果的郵件伺服器。這些電子郵件的目的是欺騙收件人，讓他們認為他們的 PayPal 帳戶被盜用以進行購買，並嚇唬電子郵件收件人撥打詐騙者的「支援」電話號碼。郵件中附有電話號碼，方便收款人討論付款事宜或進行更改。撥打該號碼時，詐騙者會試圖嚇唬您，讓您以為您的帳戶已被駭客入侵，或者他們需要連接到您的電腦才能啟動退款，並要求您下載並執行軟體。

這種詐騙手法不僅利用了技術上的漏洞，更結合了高超的社交工程技巧。詐騙者利用人們對非預期大額消費的恐慌心理，誘使受害者主動撥打電話。一旦電話接通，詐騙者便會利用話術進一步恐嚇，並最終誘騙受害者安裝遠端控制軟體，從而竊取個人資料、銀行資訊，甚至直接控制其電腦。

面對iCloud行事曆詐騙的防禦建議

面對這種狡猾的攻擊，傳統的防禦手段往往失效。用戶必須提高警覺性，並採取以下措施來保護自己：

1. 切勿點擊或撥打郵件中的連結與電話： 任何聲稱帳戶有異常或未經授權交易的通知，都應直接透過官方網站或應用程式進行確認，而非點擊郵件中的連結或撥打電話。

2. 停用iCloud行事曆自動新增邀請功能： 可以在iCloud行事曆設定中，將「邀請」的處理方式從「自動新增」改為「手動」，這可以防止任何未經確認的邀請自動出現在你的行事曆上。

3. 封鎖惡意發送者： 針對此類釣魚郵件，可以將發送者的電子郵件地址加入黑名單，阻止其發送更多邀請。

4. 提高對「回調釣魚」的警覺： 了解這類詐騙的運作模式，即先製造恐慌，再誘騙用戶主動聯繫並提供敏感資訊。

總體而言，這起iCloud行事曆釣魚詐騙案再次證明，即使是看似無害的合法服務，也可能被惡意利用。企業與個人都必須重新審視其資安防禦策略，並教育用戶辨識新興的威脅，以應對不斷變化的網路犯罪手法。

資料來源：https://www.bleepingcomputer.com/news/security/icloud-calendar-abused-to-send-phishing-emails-from-apples-servers/