Golpe da vez: o convite falso do iCloud

10/09/2025
10:47

E-mails de phishing disfarçados de notificações de compra estão sendo enviados por meio de convites do Calendário do iCloud. As mensagens estariam partindo de servidores de e-mail da Apple, contornando filtros de spam até a caixa de entrada de potenciais vítimas. O esquema foi revelado pelo site Bleeping Computer após o alerta de um leitor.

“Olá, cliente, sua conta do PayPal foi cobrada em US$ 599,00. Estamos confirmando o recebimento do seu pagamento recente”, dizia o e-mail. Aqui, os criminosos tentam convencer o usuário de que a conta PayPal foi hackeada para induzi-lo a baixar um software. Assim, eles acessam dados pessoais e podem também roubar dinheiro.

Mensagem é enviada de um servidor legítimo da Apple (Imagem: sdx15/Shutterstock)

Isca “legítima” vem de e-mail confiável

O e-mail foi enviado do endereço noreply@email.apple.com, indicando que a mensagem saiu de um servidor legítimo da Apple, como explica a reportagem. O criminoso incluiu o texto de phishing no campo Notas em um convite do Calendário do iCloud endereçado a outro e-mail do Microsoft 365 — controlado por ele.

Isso faz crer que o endereço da Microsoft é, na verdade, uma lista que encaminha automaticamente qualquer e-mail recebido para todos os outros membros do grupo — nesse caso, os alvos do golpe de phishing, diz o site. Um dos mecanismos usados pela Microsoft para contornar o esquema é o Sender Rewriting Scheme (SRS), que reescreve o caminho do e-mail, garantindo que a mensagem passe pelas verificações de segurança.

Desativar a aceitação automática de convites pode evitar golpe (Imagem: T. Schneider/Shutterstock)

“Esses ataques, como o que usa o Calendário do iCloud, passam por SPF/DKIM/DMARC e chegam a caixas de entrada com legitimidade emprestada. As pessoas não analisam links de calendário da mesma forma que analisam links de e-mail, então um convite para reunião com um número de retorno reduz as defesas e direciona as vítimas para golpes de vishing ou acesso remoto”, alertou o consultor Javvad Malik, da KnowBe4, à revista Forbes.

Recentemente, um golpe de phishing explorou serviços do Google para enganar usuários com e-mails que parecem legítimos. Utilizando o Google Sites, os invasores criam mensagens falsas que simulam alertas de intimação policial enviados por “no-reply@google.com”, como informou o Olhar Digital.

5 armadilhas que hackers usam para te enganar por e-mail

Criminosos pagam ao Google para disparar e-mails com phishing

Dicas para se proteger

Desative a aceitação automática de convites;

Aplique a autenticação multifator;

Evite responder números desconhecidos;

Configure controles de filtragem para torná-los mais rigorosos.

Ataques chegam a caixas de entrada com legitimidade “emprestada” (Imagem: lilgrapher/Shutterstock)

“Pergunte se essa comunicação era esperada, se está tentando provocar emoção e se existe um limite de tempo artificial pressionando você a agir agora. Se a resposta for sim para alguma delas, pare e verifique por conta própria por meio de um canal conhecido. E trate convites de calendário com o mesmo ceticismo que e-mails”, aconselhou Malik.

O post Golpe da vez: o convite falso do iCloud apareceu primeiro em Olhar Digital.