I criminali informatici hanno scoperto un metodo per incorporare le truffe di phishing direttamente nella sezione Note degli inviti legittimi del calendario delle mele. Questo exploit trasforma un’applicazione affidabile in un veicolo per frode digitale sfruttando la fiducia intrinseca degli utenti negli inviti del calendario.
Gli attacchi di phishing del calendario Apple sfruttano la fiducia dell’utente in inviti legittimi
La strategia di attacco capitalizza la maggiore consapevolezza degli utenti dei canali di truffa tradizionali come messaggi di testo ed e -mail. Mentre gli utenti rimangono cauti nelle comunicazioni non richieste, spesso abbassano la guardia quando si occupano di azioni automatizzate di routine come l’accettazione di inviti di calendario. Gli inviti del calendario Apple appaiono ufficiali e seguono modelli standardizzati, creando un falso senso di sicurezza che sfrutta facilmente.
Come funziona la truffa dell’invito del calendario
Il processo ingannevole segue questi passaggi:
- Scammer crea un autentico invito del calendario Apple attraverso il servizio ufficiale di Apple,
- Il messaggio fraudolento inserito nel campo “Note” ringrazia erroneamente il destinatario per un acquisto significativo,
- La vittima, che non ha fatto tale acquisto, ritiene che la loro carta di credito sia stata compromessa,
- Il campo Note include un numero di telefono per la “risoluzione delle controversie”,
- La vittima chiama il numero in attesa dell’assistenza del servizio clienti.
Il servizio clienti falso porta all’installazione di malware
Quando le vittime chiamano il numero fornito, si connettono con qualcuno in posa come rappresentante del servizio clienti. Questa persona si offre di invertire l’accusa ed elaborare un rimborso, quindi indica alla vittima di scaricare software presumibilmente necessario per la risoluzione delle controversie. Il software scaricato funge da vettore di attacco primario, in grado di rubare fondi direttamente dagli account, installare malware aggiuntivo ed estrarre dati personali sensibili.
La protezione richiede una verifica indipendente
Gli utenti possono impedire la caduta vittima di truffe di invito del calendario verificando in modo indipendente tutte le informazioni di contatto. Chiunque sospetta che gli addebiti fraudolenti debbano visitare il sito ufficiale di Emittente della propria carta o PayPal per trovare numeri di telefono legittimi delle controversie. Non utilizzare mai i numeri di telefono forniti in inviti al calendario sospetto e verificare sempre le richieste di acquisto tramite canali ufficiali di piattaforma bancarie o di pagamento prima di intraprendere qualsiasi azione.
