Los cibercriminales han descubierto un método para incrustar las estafas de phishing directamente en la sección de notas de invitaciones legítimas al calendario de manzana. Esta exploit transforma una aplicación confiable en un vehículo para fraude digital al aprovechar la confianza inherente de los usuarios en las invitaciones de calendario.
Los ataques de phishing de calendario de Apple explotan la confianza del usuario en invitaciones legítimas
La estrategia de ataque capitaliza la mayor conciencia del usuario de los canales de estafa tradicionales como mensajes de texto y correos electrónicos. Si bien los usuarios siguen siendo cautelosos con las comunicaciones no solicitadas, a menudo bajan la guardia cuando se trata de acciones automatizadas de rutina, como aceptar invitaciones de calendario. Las invitaciones del calendario de Apple parecen oficiales y siguen plantillas estandarizadas, creando una falsa sensación de seguridad que los estafadores explotan fácilmente.
Cómo funciona la estafa de invitación al calendario
El proceso engañoso sigue estos pasos:
- Scammer crea una genuina invitación al calendario de Apple a través del servicio oficial de Apple,
- Mensaje fraudulento insertado en el campo «Notas» falsamente agradece al destinatario por una compra significativa,
- La víctima, que no realizó tal compra, cree que su tarjeta de crédito ha sido comprometida,
- El campo de notas incluye un número de teléfono para «resolución de disputas»,
- La víctima llama al número que espera asistencia al servicio al cliente.
El servicio al cliente falso conduce a la instalación de malware
Cuando las víctimas llaman al número proporcionado, se conectan con alguien que se hace pasar por un representante de servicio al cliente. Esta persona ofrece revertir el cargo y procesar un reembolso, luego le indica a la víctima que descargue un software supuestamente necesario para la resolución de disputas. El software descargado sirve como el vector de ataque principal, capaz de robar fondos directamente de cuentas, instalar malware adicional y extraer datos personales confidentes.
La protección requiere una verificación independiente
Los usuarios pueden evitar la caída de las estafas de invitación de calendario al verificar independientemente toda la información de contacto. Cualquiera que sospeche de cargos fraudulentos debe visitar el emisor de su tarjeta o el sitio web oficial de PayPal para encontrar números de teléfono de disputas legítimos. Nunca use los números de teléfono proporcionados en invitaciones de calendario sospechoso, y siempre verifique los reclamos de compra a través de canales oficiales de la plataforma bancaria o de pago antes de tomar cualquier medida.
