/https://www.ilsoftware.it/app/uploads/2025/04/foto-michele-nasi.jpg){kind=small}
/https://www.ilsoftware.it/app/uploads/2025/09/phishing-email-apple-icloud.jpg "Apple iCloud usato per inviare mail phishing credibili")
Negli ultimi mesi si è osservata una nuova evoluzione delle campagne di phishing basate sul cosiddetto modello “callback” (ne parliamo più avanti). In questo caso, gli aggressori hanno sfruttato in modo innovativo e pericoloso per gli utenti, gli inviti di iCloud Calendar. La tecnica consente ai criminali informatici di inviare email di phishing apparentemente legittime attraverso i server di posta di Apple, facendo leva sull’affidabilità del dominio @email.apple.com, in modo tale da superare i controlli di sicurezza e raggiungere la casella di posta delle vittime.
Il meccanismo del phishing “callback”
A differenza del phishing tradizionale, che spinge l’utente a cliccare su link malevoli, il modello “callback” mira a indurre la vittima a contattare un numero telefonico riportato nell’email.
Generalmente, il messaggio informa di un addebito sospetto (ad esempio un certo importo su PayPal) e fornisce un recapito telefonico “di supporto” per annullare o chiarire la transazione.
Una volta stabilito il contatto, i truffatori tentano di spaventare la vittima parlando di presunti accessi fraudolenti o richieste di rimborso, inducendola a installare software di controllo remoto.
Tale accesso viene poi sfruttato per sottrarre credenziali bancarie, eseguire trasferimenti non autorizzati, distribuire malware, acquisire dati sensibili dal dispositivo.
L’elemento innovativo: l’abuso degli inviti iCloud
Il dettaglio che rende queste tipo di campagne particolarmente insidiose è la modalità con cui le email sono inviate. Non si tratta infatti di messaggi provenienti da server compromessi o da domini contraffatti, bensì di inviti a eventi iCloud Calendar.
I criminali inseriscono il testo fraudolento nel campo Note dell’evento, quindi invitano un indirizzo esterno. Quando l’invito è creato, Apple invia automaticamente una notifica email dall’indirizzo noreply@email.apple.com, firmata e autenticata correttamente con SPF, DKIM e DMARC.
L’email risulta quindi tecnicamente legittima, proviene dai server Apple e supera senza problemi tutti i controlli antispam più comuni. Mentre gli allegati o i link sospetti sono spesso intercettati, un invito di calendario con un testo apparentemente innocuo nel campo Note rappresenta un vettore poco comune e quindi meno monitorato.
Inoltre, l’uso di mailing list Microsoft 365 come destinatari amplifica la diffusione: l’invito iniziale viene inoltrato a più utenti sfruttando lo schema di riscrittura del mittente (Sender Rewriting Scheme, SRS), che consente di preservare la validità dei controlli SPF anche dopo l’inoltro.
Come difendersi
Per mitigare i rischi derivanti da questi tipi di attacchi è bene:
- Diffidare sempre da inviti calendario inattesi, soprattutto se contengono numeri di telefono o riferimenti a pagamenti.
- Non chiamare mai numeri riportati in email o inviti non richiesti: contattare direttamente eventuali provider citati (ad esempio PayPal) tramite i canali ufficiali.
- Utilizzare soluzioni di Advanced Threat Protection (ATP) capaci di analizzare comportamenti anomali oltre a svolgere i classici controlli SPF/DKIM/DMARC.
- Segnalare l’abuso al provider (Apple, Microsoft) per contribuire al miglioramento dei sistemi di rilevamento.
/https://www.ilsoftware.it/app/uploads/2025/09/totalav-antivirus-1-600x240.webp "TotalAV Premium in promozione: un anno di protezione a soli 19€")
/https://www.ilsoftware.it/app/uploads/2025/09/totalav-antivirus.jpg "Antivirus leggero e sicuro: scopri l’Ultra Deal di TotalAV a prezzo mai visto prima (solo 19€)")
/https://www.ilsoftware.it/app/uploads/2025/09/totalav-antivirus-600x240.webp "Con TotalAV protezione da virus, VPN e blocco pubblicità a 19€ per un anno")