Хакеры стали использовать уведомления об изменении учётной записи Apple для фишинга

Пользователи начали получать уведомления об изменении учётной записи Apple с серверов компании. Эта фишинговая кампания потенциально позволяет обходить спам-фильтры.

Электронное письмо выглядело как стандартное уведомление безопасности Apple, сообщающее об обновлении информации в учётной записи. Однако в сообщении содержится фишинговая приманка, утверждающая, что пользователь купил iPhone за $899 через PayPal. Рядом указан номер телефона для отмены транзакции.

«Следующие изменения в вашей учётной записи Apple, [email protected], были внесены 14 апреля 2026 г. в 19:01:40 по Гринвичу», — гласит текст письма. 

Если получатель позвонит по номеру «поддержки», то мошенники попытаются убедить его в том, что учётная запись была взломана, а также попросить установить программное обеспечение для удалённого доступа или предоставить финансовую информацию.

В предыдущих фишинговых кампаниях удалённый доступ использовался для кражи средств с банковских счетов, развёртывания вредоносного ПО или кражи иных данных.

Фишинговые письма поступают из инфраструктуры Apple с использованием адреса [email protected] и проходят проверку подлинности SPF, DKIM и DMARC.

Анализ заголовков письма показывает, что сообщение было отправлено из почтовой инфраструктуры Apple и не было подделано:

исходный сервер: rn2-txn-msbadger01107.apple.com;

исходящий ретранслятор: outbound.mr.icloud.com;

IP-адрес: 17.111.110.47 (принадлежит Apple).

Для осуществления атаки злоумышленник создаёт Apple ID и вставляет фишинговое сообщение в поля личной информации учётной записи, разделяя текст между полями имени и фамилии.

В BleepingComputer смогли воспроизвести это поведение, создав тестовую учётную запись Apple и добавив аналогичный фишинговый текст в поля имени и фамилии.

Чт