Tecnologia

Alerta: golpe usa calendário do iCloud para roubar informações

Por Beatriz 10 de setembro de 2025 8 min de leitura
WhatsApp Twitter Facebook Seguir no Google E-mail
iCloud
Foto: iCloud - Foto: sdx15 / Shutterstock.com

Um novo golpe de phishing está enganando usuários ao utilizar convites falsos do Calendário do iCloud, enviados a partir de servidores legítimos da Apple, para contornar filtros de spam e chegar diretamente às caixas de entrada. Descoberto após o alerta de um leitor ao site Bleeping Computer, o esquema utiliza mensagens que simulam notificações de pagamento do PayPal, alegando uma cobrança de US$ 599, para induzir vítimas a baixar softwares maliciosos ou ligar para números controlados por criminosos. O golpe explora a confiança em e-mails de remetentes oficiais, como noreply@email.apple.com, e já preocupa especialistas em cibersegurança. A tática, que combina engenhosidade técnica e manipulação psicológica, tem como objetivo roubar dados pessoais e, em alguns casos, dinheiro. A seguir, entenda como o golpe funciona, seus perigos e como se proteger.

O esquema começa com um e-mail que parece uma notificação legítima do iCloud, mas, na verdade, é um convite de calendário com texto malicioso inserido no campo de notas. Esse detalhe permite que a mensagem passe por verificações de segurança, como SPF, DKIM e DMARC, enganando até os filtros mais robustos. Criminosos utilizam uma lista de e-mails do Microsoft 365 para distribuir o golpe em massa, redirecionando mensagens para múltiplas vítimas. A tática, conhecida como vishing quando envolve chamadas telefônicas, ou acesso remoto, reduz as defesas das vítimas, que confiam na aparente legitimidade do remetente.

As mensagens geralmente alegam que a conta do PayPal do usuário foi comprometida, sugerindo ações urgentes, como ligar para um número fornecido ou baixar um software para “verificar” a transação. Essas ações abrem portas para roubo de informações ou instalação de malwares. A sofisticação do golpe está no uso de infraestrutura legítima da Apple, o que dificulta sua detecção por sistemas automáticos de segurança.

Como o golpe explora servidores da Apple

O diferencial desse ataque está na exploração de servidores legítimos da Apple, como o endereço noreply@email.apple.com. Criminosos criam convites no Calendário do iCloud e inserem o texto de phishing no campo de notas, que não é filtrado com o mesmo rigor que o corpo de um e-mail comum. Esse convite é enviado para uma lista de distribuição no Microsoft 365, controlada pelos atacantes, que redireciona a mensagem para as vítimas.

  • Servidores confiáveis: O uso de endereços oficiais da Apple faz o e-mail parecer autêntico.
  • Burla de filtros: A mensagem passa por verificações de segurança, como o Sender Rewriting Scheme (SRS) da Microsoft.
  • Engenharia social: O texto induz pânico, mencionando uma cobrança falsa de US$ 599.
  • Distribuição em massa: Listas de e-mail amplificam o alcance do golpe.

Essa tática explora a confiança que usuários depositam em serviços de grandes empresas, como Apple e Microsoft, tornando o golpe mais eficaz. Segundo especialistas, a manipulação de convites de calendário é menos suspeita para os usuários, que não aplicam o mesmo nível de desconfiança usado em links de e-mails.

Mecanismos técnicos por trás do ataque

O golpe utiliza uma combinação de técnicas avançadas para alcançar suas vítimas. A mensagem é enviada de um servidor legítimo da Apple, o que garante sua entrega sem ser marcada como spam. O texto malicioso, inserido no campo de notas do convite, não é analisado pelos filtros de segurança padrão, permitindo que o conteúdo chegue intacto à caixa de entrada.

Além disso, os criminosos utilizam listas de distribuição do Microsoft 365 para enviar o convite a múltiplos destinatários. Essas listas, muitas vezes criadas ou comprometidas por atacantes, funcionam como um amplificador do golpe. O uso do SRS pela Microsoft, que reescreve o caminho do e-mail, garante que a mensagem passe pelas verificações de segurança, reforçando sua aparente legitimidade.

  • Convite de calendário: O texto de phishing é escondido no campo de notas, menos monitorado.
  • Listas de distribuição: Permitem envio em massa sem levantar suspeitas iniciais.
  • Verificações burladas: Protocolos como SPF, DKIM e DMARC não detectam a ameaça.
  • Engano visual: A mensagem parece um convite comum, reduzindo a desconfiança.

A sofisticação técnica do golpe exige que os usuários sejam mais vigilantes, já que as ferramentas automáticas de segurança podem não ser suficientes para identificar a ameaça.

iCloud
iCloud – Foto: Selman GEDIK / Shutterstock.com

Perigos do golpe para os usuários

O principal risco do golpe é o roubo de dados pessoais, como senhas, informações bancárias e até acesso total a dispositivos. Ao seguir as instruções do e-mail, como ligar para um número fornecido ou baixar um software, o usuário pode instalar malwares que monitoram atividades ou permitem acesso remoto ao dispositivo.

Além disso, o golpe explora a engenharia social para criar urgência. A menção a uma cobrança de US$ 599 no PayPal provoca pânico, levando a vítima a agir sem pensar. Em alguns casos, os criminosos conseguem extrair informações diretamente por telefone, em chamadas de vishing, onde se passam por representantes de empresas confiáveis.

Leia Tambem
Anéis inteligentes avançam como alternativa discreta para monitoramento de saúde e bem-estar pessoal

Anéis inteligentes avançam como alternativa discreta para monitoramento de saúde e bem-estar pessoal

Vazamento revela amostras do iPhone 18 Pro com novas cores; veja protótipos Azul Claro e Dark Cherry

Vazamento revela amostras do iPhone 18 Pro com novas cores; veja protótipos Azul Claro e Dark Cherry

Jogador Noahman90 encerra 11 anos de suporte a 6.000 caçadores em Bloodborne na luta contra Órfão de Kos

Jogador Noahman90 encerra 11 anos de suporte a 6.000 caçadores em Bloodborne na luta contra Órfão de Kos

  • Malwares: Softwares maliciosos podem roubar dados ou bloquear dispositivos.
  • Vishing: Ligações induzem a vítima a compartilhar informações sensíveis.
  • Acesso remoto: Criminosos podem controlar dispositivos infectados.
  • Perdas financeiras: Dados roubados podem ser usados para saques ou fraudes.

A combinação de manipulação psicológica e tecnologia avançada torna esse golpe particularmente perigoso, especialmente para usuários menos familiarizados com cibersegurança.

Medidas para se proteger do golpe

Proteger-se contra esse tipo de phishing exige uma combinação de configurações técnicas e bom senso. Especialistas recomendam ajustes em serviços de e-mail e calendário, além de práticas de segurança digital que minimizem os riscos. A seguir, algumas ações práticas para evitar cair no golpe:

  • Desative convites automáticos: Evite que convites de calendário sejam aceitos sem revisão.
  • Autenticação multifator: Ative a verificação em duas etapas em contas sensíveis, como e-mail e PayPal.
  • Ignore números desconhecidos: Não retorne ligações para números fornecidos em e-mails suspeitos.
  • Filtros de e-mail rigorosos: Configure seu serviço de e-mail para bloquear mensagens não solicitadas.
  • Verifique a origem: Cheque manualmente qualquer notificação por canais oficiais, como o site do PayPal.

Adotar essas práticas reduz significativamente as chances de ser vítima do golpe. Além disso, manter o software atualizado e usar antivírus confiáveis ajuda a detectar ameaças antes que elas causem danos.

Outros golpes semelhantes em circulação

O golpe do iCloud não é um caso isolado. Recentemente, criminosos têm explorado serviços de grandes empresas para criar mensagens falsas. Um exemplo é o uso do Google Sites para enviar e-mails que simulam intimações policiais, enviados de endereços como no-reply@google.com. Esses esquemas também se valem da confiança em marcas conhecidas para enganar usuários.

Outro caso envolve notificações falsas de renovação da Carteira Nacional de Habilitação (CNH), que induzem vítimas a clicar em links maliciosos. Esses golpes frequentemente utilizam táticas de engenharia social, como prazos curtos ou ameaças de multas, para pressionar as vítimas a agir rapidamente.

  • Google Sites: E-mails falsos simulam intimações policiais.
  • CNH falsa: Links maliciosos prometem renovação de documentos.
  • Pagamentos ao Google: Criminosos usam anúncios pagos para distribuir phishing.
  • Táticas de urgência: Prazos falsos pressionam as vítimas a agir sem verificar.

A semelhança entre esses golpes reforça a importância de desconfiar de qualquer comunicação não solicitada, mesmo que pareça vir de uma fonte confiável.

O que fazer ao receber um e-mail suspeito

Ao receber um e-mail ou convite de calendário inesperado, a primeira atitude deve ser verificar sua autenticidade. Especialistas sugerem checar diretamente com a empresa mencionada, usando canais oficiais, como o site ou aplicativo do serviço. Evite clicar em links ou retornar ligações para números fornecidos na mensagem.

Se o e-mail alegar uma cobrança, como no caso do PayPal, acesse sua conta diretamente pelo site oficial para confirmar qualquer transação. Além disso, denunciar mensagens suspeitas aos provedores de e-mail ajuda a melhorar os filtros de segurança e proteger outros usuários.

  • Acesse canais oficiais: Verifique notificações diretamente no site da empresa.
  • Não clique em links: Evite abrir anexos ou clicar em URLs suspeitas.
  • Denuncie o golpe: Informe o provedor de e-mail sobre mensagens maliciosas.
  • Mantenha a calma: Não aja sob pressão de prazos falsos.

Essas ações simples podem evitar que o usuário caia em armadilhas digitais e ajudam a manter a segurança online.