Bisnis.com, JAKARTA — Peretas menggunakan metode baru dalam mencuri data pengguna dengan memanfaatkan undangan kalender iCloud milik Apple untuk penyebaran email phishing yang lolos filter spam dan tampak seolah terpercaya.
Pelaku menumpang pada fitur resmi Apple, sehingga email berisi penipuan dapat masuk ke kotak masuk korban tanpa terdeteksi sebagai spam oleh sistem keamanan email.
BleepingComputer melaporkan, Senin (8/9/2025), seorang pembaca mengirimkan contoh email ke BleepingComputer yang mengklaim ada transaksi senilai $599 menggunakan akun PayPal penerima. Di dalam email itu terdapat nomor telepon yang disebut bisa dihubungi untuk membatalkan transaksi.
Korban yang panik kerap menghubungi nomor tersebut—tanpa sadar telah terjebak modus ‘callback phishing’. Pelaku biasanya akan berpura-pura menjadi petugas dukungan, meminta akses jarak jauh ke komputer korban dengan dalih mengembalikan uang, dan dari sana mencuri data sensitif, uang, atau bahkan menginstal malware berbahaya.
Adapun yang membedakan penipuan ini dengan modus lain, email dikirim langsung dari server Apple (noreply@email.apple.com) melalui sistem undangan kalender iCloud. Phishing text disisipkan dalam kolom ‘Notes’ pada undangan, kemudian diundang ke akun email Microsoft 365 milik pelaku yang berfungsi sebagai mailing list.
Setelah itu undangan diteruskan secara otomatis ke banyak target. Karena dikirim dari domain Apple, email ini lolos semua cek keamanan SPF, DMARC, dan DKIM—sehingga sangat sulit ditahan filter spam.
Pelaku menggunakan skema penggantian alamat pengirim (Sender Rewriting Scheme), menambah legitimasi email sebelum diteruskan ke para korban.
Sementara itu, MalwareBytes menyampaikan modus penyalahgunaan undangan kalender ini sebelumnya juga pernah terjadi dalam sistem calendar Google dan Outlook.
Kejadian ini menambah deretan risiko keamanan digital, apalagi semakin banyak pengguna digital yang mempercayai sistem notifikasi dari provider besar seperti Apple. Sayangnya, Apple sendiri hingga kini belum memberikan klarifikasi atas permintaan media soal celah keamanan ini.
Pakar keamanan menekankan, undangan kalender berisi pesan atau tautan aneh—terutama jika terkait transaksi atau permintaan mendadak—harus selalu dicurigai sebagai potensi penipuan. Pengguna disarankan tidak langsung menghubungi nomor atau mengklik tautan, serta selalu memperbarui pengaturan keamanan pada aplikasi email dan kalender.