网络犯罪分子发现了一种将网络钓鱼骗局直接嵌入合法Apple日历邀请函部分的方法。通过利用用户对日历邀请的固有信心,这种利用将受信任的应用程序转变为数字欺诈的车辆。
Apple日历网络钓鱼攻击利用了合法邀请的用户信任
攻击策略利用了对传统骗局渠道(如短信和电子邮件)的提高用户意识。尽管用户对未经请求的通信保持谨慎,但在处理常规自动化措施(例如接受日历邀请)时,他们通常会降低警卫。 Apple Calendar邀请将正式出现并遵循标准化模板,从而产生了一种虚假的安全感,骗子很容易利用。
日历邀请骗局的工作方式
欺骗性过程遵循以下步骤:
- 骗子通过苹果的正式服务创建了真正的苹果日历邀请函
- “笔记”字段中插入的欺诈性消息错误地感谢收件人的大量购买,
- 不进行此类购买的受害者认为,他们的信用卡已被妥协,
- 注释字段包括一个“争议解决”的电话号码,
- 受害者致电期望客户服务援助的电话号码。
假客户服务导致恶意软件安装
当受害者致电提供的号码时,他们会与冒充客户服务代表的人建立联系。此人提出要扭转费用并处理退款,然后指示受害者下载据说解决争议所需的软件。下载的软件是主要的攻击向量,能够直接从帐户中窃取资金,安装其他恶意软件并提取敏感的个人数据。
保护需要独立验证
用户可以通过独立验证所有联系信息来防止受害者陷入日历邀请骗局。任何怀疑欺诈性费用的人都应访问其卡发行人或贝宝(Paypal)的官方网站,以查找合法的争议电话号码。切勿使用可疑日历邀请中提供的电话号码,并且在采取任何措施之前,请始终通过官方银行或付款平台渠道验证购买索赔。
