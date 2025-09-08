Negli ultimi mesi si è osservata una nuova evoluzione delle campagne di phishing basate sul cosiddetto modello “callback” (ne parliamo più avanti). In questo caso, gli aggressori hanno sfruttato in modo innovativo e pericoloso per gli utenti, gli inviti di iCloud Calendar. La tecnica consente ai criminali informatici di inviare email di phishing apparentemente legittime attraverso i server di posta di Apple, facendo leva sull’affidabilità del dominio @email.apple.com , in modo tale da superare i controlli di sicurezza e raggiungere la casella di posta delle vittime.

Il meccanismo del phishing “callback”

A differenza del phishing tradizionale, che spinge l’utente a cliccare su link malevoli, il modello “callback” mira a indurre la vittima a contattare un numero telefonico riportato nell’email.

Generalmente, il messaggio informa di un addebito sospetto (ad esempio un certo importo su PayPal) e fornisce un recapito telefonico “di supporto” per annullare o chiarire la transazione.

Una volta stabilito il contatto, i truffatori tentano di spaventare la vittima parlando di presunti accessi fraudolenti o richieste di rimborso, inducendola a installare software di controllo remoto.

Tale accesso viene poi sfruttato per sottrarre credenziali bancarie, eseguire trasferimenti non autorizzati, distribuire malware, acquisire dati sensibili dal dispositivo.

L’elemento innovativo: l’abuso degli inviti iCloud

Il dettaglio che rende queste tipo di campagne particolarmente insidiose è la modalità con cui le email sono inviate. Non si tratta infatti di messaggi provenienti da server compromessi o da domini contraffatti, bensì di inviti a eventi iCloud Calendar.

I criminali inseriscono il testo fraudolento nel campo Note dell’evento, quindi invitano un indirizzo esterno. Quando l’invito è creato, Apple invia automaticamente una notifica email dall’indirizzo noreply@email.apple.com , firmata e autenticata correttamente con SPF, DKIM e DMARC.

L’email risulta quindi tecnicamente legittima, proviene dai server Apple e supera senza problemi tutti i controlli antispam più comuni. Mentre gli allegati o i link sospetti sono spesso intercettati, un invito di calendario con un testo apparentemente innocuo nel campo Note rappresenta un vettore poco comune e quindi meno monitorato.

Inoltre, l’uso di mailing list Microsoft 365 come destinatari amplifica la diffusione: l’invito iniziale viene inoltrato a più utenti sfruttando lo schema di riscrittura del mittente (Sender Rewriting Scheme, SRS), che consente di preservare la validità dei controlli SPF anche dopo l’inoltro.

Come difendersi

Per mitigare i rischi derivanti da questi tipi di attacchi è bene: