Phishing-Attacke nutzt Apple-Kalender als Einfallstor

Cyberkriminelle missbrauchen Apples iCloud-Kalender für raffinierte Phishing-Angriffe. Die Täter versenden bösartige Kalendereinladungen direkt über Apples Server – und umgehen so alle Standard-Sicherheitsfilter.

Die perfide Masche funktioniert, weil die gefälschten Einladungen von der vertrauenswürdigen Apple-Adresse „noreply@email.apple.com“ stammen. Dadurch passieren sie mühelos alle E-Mail-Authentifizierungsverfahren wie SPF, DKIM und DMARC und landen direkt im Posteingang statt im Spam-Ordner.

Sicherheitsexperten warnen: Diese Woche registrierten sie einen massiven Anstieg solcher Attacken. Die Betrüger tarnen ihre Nachrichten als dringende Kaufbenachrichtigungen von Diensten wie PayPal und setzen ihre Opfer gezielt unter Druck.

Anzeige: Passend zum Thema PayPal-Phishing: Richten Sie PayPal sicher ein und erkennen Sie Fallen frühzeitig. Der kostenlose Spezialreport erklärt Käuferschutz, die wichtigsten Einstellungen und 5 Profi-Tipps – ideal für Einsteiger und alle, die online bezahlen. Jetzt das kostenlose PayPal-Startpaket herunterladen

Wie die Täter Apples Infrastruktur kapern

Das Vorgehen der Kriminellen ist erschreckend simpel: Sie erstellen einen iCloud-Kalendereintrag und platzieren ihre Phishing-Nachricht – etwa eine gefälschte PayPal-Rechnung über 500 Euro mitsamt Telefonnummer – im Notizfeld des Termins.

Anschließend laden sie eine von ihnen kontrollierten Microsoft 365-E-Mail-Adresse zu diesem „Termin“ ein. Diese Adresse ist als Verteiler konfiguriert und leitet die scheinbar legitime Apple-Nachricht automatisch an hunderte potenzielle Opfer weiter.

Der Clou: Microsofts Sender Rewriting Scheme (SRS) sorgt dafür, dass auch die weitergeleitete E-Mail alle Sicherheitsprüfungen besteht. Die Nachricht durchläuft praktisch eine „Geldwäsche“ durch vertrauenswürdige Server – für automatische Sicherheitssysteme ist sie kaum zu erkennen.

Callback-Betrug: Wenn das Telefon zur Falle wird

Ziel der Kampagne ist sogenanntes „Callback-Phishing“. Die gefälschten Kaufbenachrichtigungen sollen Panik auslösen und die Opfer dazu bringen, die angegebene Nummer anzurufen.

Am anderen Ende der Leitung wartet dann ein vermeintlicher Support-Mitarbeiter von PayPal oder einem anderen Dienst. Der Betrüger behauptet, das Konto sei kompromittiert, und überredet das Opfer zur Installation einer Fernzugriffssoftware.

Javvad Malik, Sicherheitsexperte bei KnowBe4, erklärt: „Diese Angriffe landen mit geliehener Legitimität in den Posteingängen. Menschen prüfen Kalender-Links nicht so kritisch wie E-Mail-Links – eine Termineinladung mit Rückrufnummer senkt die Abwehr und schleust Opfer in Telefon- oder Fernzugriffsbetrug.“

Teil eines größeren Problems

Die iCloud-Masche reiht sich in eine besorgniserregende Entwicklung ein: Kriminelle missbrauchen zunehmend legitime Funktionen bekannter Dienste für ihre Attacken. Ähnliche Taktiken gibt es bereits bei PayPal, Google Calendar und Microsoft Teams.

Das Perfide: Kalender-Apps gelten als Organisationstools, nicht als Sicherheitsrisiko. Nutzer sind konditioniert, Termineinladungen zu vertrauen – diese psychologische Schwachstelle machen sich die Täter zunutze.

Apple wurde über die laufende Kampagne informiert, äußerte sich bisher aber nicht öffentlich dazu. Der Vorfall zeigt einmal mehr das endlose Katz-und-Maus-Spiel zwischen Plattformanbietern und Cyberkriminellen.

Schutzmaßnahmen: So wehren Sie sich ab

Sicherheitsexperten raten zu erhöhter Wachsamkeit bei unerwarteten Kalendereinladungen. Diese sollten genauso kritisch betrachtet werden wie verdächtige E-Mails.

Konkrete Schutzmaßnahmen:

• Niemals Telefonnummern aus unerwarteten Kalendereinladungen anrufen
• Transaktionen stets unabhängig prüfen – direkt über die offizielle Website oder App des betreffenden Dienstes
• Automatische Annahme von Kalendereinladungen in den Einstellungen deaktivieren
• Verdächtige Einladungen als Spam melden oder den betroffenen Kalender komplett löschen

Die Attacke macht deutlich: Nur eine Kombination aus Nutzer-Sensibilisierung und verstärkten technischen Schutzmaßnahmen der Anbieter kann diese raffinierten Betrugsmaschen stoppen.