Уведомления об изменении учетной записи Apple используются для рассылки фишинговых сообщений о мошеннических покупках iPhone в легитимных электронных письмах, отправляемых с серверов Apple, что повышает их достоверность и потенциально позволяет обходить спам-фильтры.
Один из читателей поделился с BleepingComputer письмом, которое выглядело как стандартное уведомление безопасности Apple о том, что информация об учетной записи была обновлена.
Однако внутри сообщения содержалась фишинговая приманка, утверждающая, что была совершена покупка iPhone на сумму 899 долларов через PayPal, а также указан номер телефона для отмены транзакции.
“Уважаемый пользователь, покупка iPhone на 899 долларов через Pay-Pal. Для отмены 18023530761”, — гласит фишинговое письмо об учетной записи Apple.
“Следующие изменения в вашей учетной записи Apple, hxfedna24005@icloud.com, были внесены 14 апреля 2026 года в 19:01:40 по Гринвичу:”
“Информация о доставке”
Эти письма призваны обманом заставить получателей поверить, что их учетные записи были использованы для мошеннических покупок, и напугать их, заставив позвонить по номеру “службы поддержки” мошенников.
Позвонив по этому номеру, мошенники обычно пытаются убедить жертв в том, что их учетные записи скомпрометированы, и могут потребовать установить программное обеспечение для удаленного доступа или предоставить финансовую информацию.
В предыдущих кампаниях фишинга с обратным звонком этот удаленный доступ использовался для кражи средств с банковских счетов, развертывания вредоносного ПО или кражи данных.
Злоупотребление уведомлениями учетной записи Apple
Хотя фишинговая приманка не нова, эта кампания демонстрирует, как злоумышленники продолжают развивать свою тактику, используя легитимные функции веб-сайтов для проведения атак.
Фишинговое письмо было отправлено из инфраструктуры Apple с использованием адреса appleid@id.apple.com и прошло проверки подлинности SPF, DKIM и DMARC, что указывает на то, что это было легитимное письмо от Apple.
dkim=pass header.d=id.apple.com header.i=@id.apple.com header.b=o3ICBLWN
spf=pass (spf.icloud.com: domain of uatdsasadmin@email.apple.com designates 17.111.110.47 as permitted sender) smtp.mailfrom=uatdsasadmin@email.apple.com
Дальнейший анализ заголовков письма показывает, что сообщение поступило из почтовой инфраструктуры Apple и не было подделано.
Initial server: rn2-txn-msbadger01107.apple.com
Outbound relay: outbound.mr.icloud.com
IP address: 17.111.110.47 (Apple-owned)Для проведения атаки злоумышленник создает Apple ID и вставляет фишинговое сообщение в поля личной информации учетной записи, разделяя текст между полями имени и фамилии.
BleepingComputer удалось воспроизвести это поведение, создав тестовую учетную запись Apple и добавив аналогичный текст фишинга с обратным звонком в поля имени и фамилии. Это связано с тем, что каждое поле не может содержать все мошенническое сообщение целиком.
Чтобы инициировать уведомление об изменении профиля учетной записи Apple, злоумышленник изменяет информацию о доставке учетной записи, что заставляет Apple отправить оповещение безопасности, уведомляющее пользователя об изменении.
Поскольку Apple включает поля имени и фамилии, предоставленные пользователем, в эти уведомления, фишинговое сообщение встраивается непосредственно в электронное письмо и доставляется как часть легитимного оповещения.
Хотя целью атак было получено сообщение, письмо изначально было отправлено на адрес электронной почты iCloud, связанный с учетной записью злоумышленника. Этот адрес электронной почты также включен в уведомление, что делает письмо более тревожным и потенциально заставляет кого-то поверить, что учетная запись была взломана.
Анализ заголовков показывает, что исходный получатель отличается от конечного адреса доставки, что указывает на то, что злоумышленник, вероятно, использует список рассылки для распространения писем среди нескольких целей.
Эта кампания схожа с предыдущей фишинговой кампанией, в которой использовались приглашения в Календарь iCloud для отправки поддельных уведомлений о покупках через серверы Apple.
В качестве общего правила, пользователям следует с осторожностью относиться к неожиданным оповещениям учетной записи, заявляющим о покупках или призывающим позвонить по номерам поддержки, особенно если они не инициировали никаких недавних изменений или если в них содержатся необычные адреса электронной почты.
BleepingComputer связался с Apple в пятницу по поводу этой кампании, но не получил ответа, и злоупотребление все еще возможно.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Lawrence Abrams
