苹果官方邮箱遭“借壳”：iCloud日历被滥用，钓鱼攻击绕过验证直达用户

苹果官方服务器竟成钓鱼邮件的“跳板”？近期，多名用户发现自己收到的诈骗邮件居然由苹果域名发出，安全验证全数通过，极具迷惑性。

攻击者利用 iCloud 日历功能，将“日历邀约”变身为钓鱼渠道，绕过垃圾邮件过滤机制，欺骗性与隐蔽性远超以往。

01

日历邀约“借壳”钓鱼：

从垃圾邮件到官方邮箱

近日，研究人员报告了一种新型钓鱼攻击：诈骗分子滥用苹果 iCloud Calendar 邀请功能，通过苹果官方服务器批量发出邮件，伪装成看似合法的支付通知。

用户提供的ICloud日历邀请邮件截图

来源：BleepingComputer

不同于传统的垃圾邮件，这类攻击邮件全部通过了 SPF、DKIM、DMARC 等安全验证。换句话说，从技术层面看，它们就是“官方邮件”，收件人很难从表面特征判断其真伪。

攻击者常见的伎俩是冒充 PayPal 消费通知，诱导用户拨打邮件中的“客服电话”。在这一过程中，骗子会制造紧迫感，谎称“账户异常”或“支付错误”，并以“退款”为由引导用户下载远程控制工具，进一步盗取资金或数据。

更危险的是，这些邮件往往混杂在用户日常收件箱中，不再像传统垃圾邮件那样明显带有“可疑标签”，极大增加了中招风险。

02

技术细节：

合法验证之下的隐蔽攻击

此次事件的核心在于——攻击者并没有伪造苹果域名，而是真正利用苹果服务器发信。

研究人员分析，诈骗分子将钓鱼信息嵌入日历事件的 Notes 字段，然后利用 iCloud 的“日历邀请”功能，将事件邀请发送给目标用户的邮箱。由于这些邮件确实是从苹果服务器发出，因此：

SPF 验证显示发件域可信

DKIM 签名完整有效

DMARC 验证结果全部通过

这使得邮件在进入 Microsoft 365、Gmail 等主流邮箱系统时，能够绕过垃圾邮件过滤，直达用户收件箱。

进一步放大风险的是，攻击者常用 Microsoft 365 邮箱组作为目标。这意味着，一旦邮件投递成功，整个邮件组的所有成员都会同步收到钓鱼内容，传播范围呈指数级扩大。

此外，在邮件传递过程中，Microsoft 365 会出于正常验证需求自动重写邮件的 Return-Path 字段，以确保 SPF 检查顺利通过。但这种机制无形中也为攻击提供了掩护，使邮件看起来更像是“官方通知”，从而进一步提升了欺骗性。

03

社工手法升级：

从邮件诈骗到远程操控

表面上，这些钓鱼邮件依旧采用了常见的“虚假消费通知”套路，但在苹果官方邮箱加持下，整个攻击流程被赋予了更高的欺骗性。

一旦用户拨打邮件中的号码，社工骗子会冒充官方客服，声称用户账户存在异常或需要退款。随后，骗子会诱导用户进行各种操作，例如安装远程控制软件、提供银行卡或支付账户信息，或者转账至所谓‘安全账户’，以窃取资金或敏感数据。

比起以往的“垃圾邮件+钓鱼链接”，此次攻击的升级之处在于——它利用了一个几乎没有被纳入安全监测范围的渠道：日历功能。传统反诈机制大多聚焦于邮件正文、超链接与附件，而日历 Notes 字段长期被忽视，为攻击者提供了可乘之机。

04

如何应对：

用户与机构的双重防御

面对这类“官方邮箱背书”的钓鱼攻击，用户与机构都需要提高防御意识和技术手段。

普通用户的防护建议：

谨慎处理不明日历邀请：

若未参与活动或来自陌生来源，切勿点击邀请中的内容。

关闭 iCloud 自动接受功能：

在 iCloud.com 设置中，将日历邀请改为“通过邮件接收”，避免直接出现在系统日历里。

定期检查订阅日历源：

在 iOS 设置→日历→帐户中，删除可疑或来源不明的订阅。

提高社工防范意识：

不要拨打陌生邮件提供的电话，尤其是涉及退款、远程协助的请求。

机构与安全团队的应对措施：

扩展安全检测范围：

邮件安全网关需覆盖日历邀请、Notes 字段等非传统内容。

行为分析与AI检测：

通过机器学习识别异常的日历事件模式，而不仅依赖邮件头验证。

跨平台协作：

苹果、Microsoft、Google 等服务提供商需建立更紧密的共享机制，防止同类攻击跨平台扩散。

此次 iCloud 日历遭滥用事件再次证明：安全机制的强弱，不在于渠道是否权威，而在于能否识别内容本身的风险。

过去，用户常以“是否来自官方域名”作为信任判断标准，但如今攻击者完全可能“借壳官方”，把合法渠道变成欺诈跳板。这对安全从业者提出了更高要求：监测机制必须跨越传统边界，防御思维也必须摆脱“只要官方就可信”的惯性。

随着社工攻击与技术滥用不断融合，未来类似案例还会出现。对用户而言，唯一可靠的办法是保持怀疑，主动核实；对厂商而言，则需提前发现并堵住系统级漏洞，防止权威平台沦为诈骗温床。

消息来源：BleepingComputer

文章来源 ：安全客