|
Research
|
Blog
|
Newsletter
|
Websession
|
EN

iCloud-Kalender für Phishing-E-Mails über Apple-Server missbraucht

10. September 2025

Das Online-Magazin Bleeping Computer berichtet über eine neue Masche, bei der Cyberkriminelle iCloud-Kalendereinladungen für einen sogenannten Callback-Phishing-Scam nutzen. Die verschickten E-Mails tarnen sich dabei als Kaufbenachrichtigung und bitten um einen Rückruf. Da diese E-Mails scheinbar direkt von Apples eigenen Servern kommen, gelingt es den Hackern so, auch Spam-Filter zu umgehen und sich in die Posteingänge ihrer Opfer zu schmuggeln.

Aufmerksam wurde die Redaktion auf die Phishing-Kampagne durch den Hinweis eines Lesers. Dieser hatte eine E-Mail erhalten, die sich als Beleg für eine Zahlung von 599 US-Dollar via PayPal ausgab. Darin enthalten war auch eine Telefonnummer, die man anrufen sollte, falls man Details zur Zahlung benötigt oder Änderungen vornehmen möchte. Verschickt wurde diese E-Mail als Einladung für den iCloud-Kalender mit dem Ziel, den Empfänger zu einem Anruf bei den angegebenen Nummern zu bewegen. Der eigentliche Phishing-Text wurde in den Notizen zum Termin platziert.

Fällt das Opfer auf diesen Trick herein, landet es bei einer vermeintlichen Support-Hotline, wo einer der Betrüger versucht, es davon zu überzeugen, dass sein PayPal-Account gehackt wurde und dass er (der Scammer) Zugriff auf den Computer des Opfers brauche, um eine Rückerstattung zu veranlassen. Dazu soll das Opfer eine Software herunterladen und installieren. Dieser Fernzugriff kann dann dazu genutzt werden, Malware nachzuladen oder Daten zu stehlen.

Soweit handelt es sich bei der neuen Kampagne weitgehend um eine Standard-Variante eines Callback-Phishing-Scams. Was sie jedoch herausstechen lässt, ist die Tatsache, dass die E-Mails von noreply@email.apple.com verschickt wurden und zahlreiche Sicherheitschecks durchlaufen konnten, ohne als Phishing-Versuch aufzufallen.

Wie bereits erwähnt, handelt es sich bei der E-Mail eigentlich um eine Einladung über den iCloud-Kalender, in der der Angreifer den Phishing-Text in das Feld „Notizen“ eingefügt und dann eine von ihm kontrollierte Microsoft 365-E-Mail-Adresse eingeladen hat. Über diese werden dann weitere externe Personen eingeladen. Sie erhalten dann eine E-Mail-Einladung von den Servern von Apple unter email.apple.com im Namen des iCloud-Kalenderbesitzers mit der E-Mail-Adresse „noreply@email.apple.com“. Es wird vermutet, dass es sich bei der verwendeten Microsoft 365-E-Mail-Adresse um eine Mailingliste handelt, die alle eingehenden E-Mails automatisch an alle anderen Gruppenmitglieder, also an die Opfer des Phishing-Versuchs, weiterleitet.

Auf diese Weise schaffen es die Kriminellen, standardmäßige Sicherheitschecks zu umgehen und nicht von Spam-Filtern ausgesiebt zu werden. Es ist daher ratsam, unerwartete Kalender-Einladungen und seltsame Nachrichten mit Vorsicht zu behandeln und niemals Software aus unbekannten Quellen herunterzuladen, nur weil ein obskurer Kundendienst dazu rät.

Bild (c) prima91 / Adobe Stock

Zurück zur Blog-übersicht
Zurück zuM Research-Blog
Alle Mitarbeiter-Interviews
Security Services
Managed Security Services
8com easySOC
Security Operations Center
SIEM as a Service
EDR as a Service
Vulnerabilty Management as a Service
SAP Security
Penetration Testing
Security Awareness
8com Academy - E-Learning
Was uns ausmacht
Cyber Defense Center
Über uns
Kontakt & mehr
Kontakt
Jobs
Pressebereich
Blog
Rechtliches
Datenschutzerklärung
Impressum
AGB
HinSchG-Vereinbarung
Webpräsenz der Allianz für Cyber-Sicherheit
ISO 27001 Zertifikat auf Basis von BSI IT-Grundschutz
Die Kernprozesse des Security Operations Center (SOC) der 8com GmbH & Co. KG: Security Information and Event Management (SIEM) as a Service, Endpoint Detection and Response (EDR) as a Service, Vulnerability Management as a Service als Managed Security Services für Geschäftskunden und Behörden.
Mehr Informationen
Logo Bündnis für DemokratieLogo Bündnis für DemokratieLogo Bündnis für Demokratie