Оповещения об изменениях в учетной записи Apple используются для рассылки фишинговых писем

Главная » Apple » Оповещения об изменениях в учетной записи Apple используются для рассылки фишинговых писем

19.04.2026

Время чтения: 4 мин.

Уведомления об изменениях в учетной записи Apple используются для рассылки поддельных фишинговых писем о покупке iPhone в рамках легитимных рассылок с серверов Apple, что повышает их доверие и потенциально позволяет обходить спам-фильтры.

Один из читателей поделился c BleepingComputer электронным письмом, которое выглядело как стандартное уведомление Apple о безопасности, сообщающее об обновлении данных учетной записи.

Однако в сообщении была фишинговая приманка: якобы через PayPal была совершена покупка iPhone за 899 долларов, а также указан номер телефона для отмены транзакции.

«Уважаемый пользователь, для отмены покупки iPhone за 899 долларов США через PayPal, отмените заказ 18023530761», — говорится в фишинговом письме от Apple.

«Следующие изменения в вашей учетной записи Apple, hxfedna24005@icloud.com, были внесены 14 апреля 2026 года в 19:01:40 по Гринвичу:»

«Информация о доставке»

Обратный фишинг с использованием уведомлений об изменении учетной записи Apple

Цель таких писем — заставить получателей поверить, что их учетные записи были использованы для мошеннических покупок, и напугать их, заставив позвонить по номеру «службы поддержки» мошенника.

При звонке по этому номеру мошенники обычно пытаются убедить жертву в том, что ее учетные записи взломаны, и могут предложить установить программное обеспечение для удаленного доступа или предоставить финансовую информацию.

В предыдущих фишинговых кампаниях с обратным звонком этот удаленный доступ использовался для кражи средств с банковских счетов, распространения вредоносного ПО или кражи данных.

Читать В общедоступных репозиториях GitLab было обнаружено более 17 000 секретов

Злоупотребление уведомлениями в аккаунтах Apple

Хотя фишинговая уловка не нова, эта кампания показывает, что злоумышленники продолжают совершенствовать свои методы, используя для атак функции легитимных веб-сайтов.

Фишинговое письмо было отправлено из инфраструктуры Apple с адреса appleid@id.apple.com и прошло проверку подлинности по протоколам SPF, DKIM и DMARC, что указывает на его подлинность.

dkim=pass header.d=id.apple.com header.i=@id.apple.com header.b=o3ICBLWN
spf=pass (spf.icloud.com: domain of uatdsasadmin@email.apple.com designates 17.111.110.47 as permitted sender) smtp.mailfrom=uatdsasadmin@email.apple.com

Дальнейший анализ заголовков электронных писем показал, что сообщение было отправлено из почтовой инфраструктуры Apple и не было подделано.

Initial server: rn2-txn-msbadger01107.apple.com
Outbound relay: outbound.mr.icloud.com
IP address: 17.111.110.47 (Apple-owned)

Чтобы осуществить атаку, злоумышленник создает Apple ID и вставляет фишинговое сообщение в поля с личными данными учетной записи, разделяя текст на поля с именем и фамилией.

BleepingComputer удалось воспроизвести эту ситуацию, создав тестовую учетную запись Apple и добавив в поля имени и фамилии аналогичные фишинговые сообщения. Это связано с тем, что в каждом поле не может быть размещено все мошенническое сообщение целиком.

Атака с использованием репликации путем изменения полей имени учетной записи Apple

Чтобы получить уведомление об изменении профиля в учетной записи Apple, злоумышленник изменяет данные о доставке, указанные в учетной записи. В результате Apple отправляет пользователю уведомление о нарушении безопасности.

Читать CISA предупреждает о критической уязвимости в веб-панели CentOS, которая используется для атак

Поскольку Apple включает в эти уведомления поля с именем и фамилией пользователя, фишинговое сообщение встраивается непосредственно в электронное письмо и доставляется как часть легитимного оповещения.

Несмотря на то, что адресат получил сообщение, электронное письмо изначально было отправлено на адрес iCloud, связанный с учетной записью злоумышленника. Этот адрес также указан в уведомлении, что делает его более подозрительным и может навести на мысль о взломе учетной записи.

Анализ заголовка показывает, что первоначальный получатель отличается от конечного адреса доставки. Это указывает на то, что злоумышленник, скорее всего, использует список рассылки для отправки писем нескольким адресатам.

Эта кампания похожа на предыдущую фишинговую кампанию, в рамках которой злоумышленники использовали приглашения в Календарь iCloud для отправки поддельных уведомлений о покупках через серверы Apple.

Как правило, пользователям следует с осторожностью относиться к неожиданным оповещениям о покупках или просьбам позвонить в службу поддержки, особенно если они не совершали никаких действий в последнее время или если в письме указан необычный адрес электронной почты.

В пятницу издание BleepingComputer обратилось в Apple по поводу этой кампании, но не получило ответа. Таким образом, злоупотребления все еще возможны.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Просмотров поста: 6

Редактор: AndreyEx

Рейтинг: 5 (1 голос)