Киберпрестъпници използват легитимни известия от Apple, за да разпространяват фишинг съобщения, свързани с фалшиви покупки на iPhone. Това прави атаките значително по-убедителни и им позволява да преминават през стандартните филтри за спам, тъй като имейлите идват директно от инфраструктурата на Apple.

Как работи схемата

Атаката използва реални системни известия за промени в акаунт. Жертвата получава имейл, който изглежда като стандартно уведомление за актуализация на Apple ID. В самото съобщение обаче е вграден фишинг текст, например:

• твърдение за покупка на стойност $899
• споменаване на PayPal като платежен метод
• телефонен номер за „анулиране“ на транзакцията

Целта е да се предизвика паника и потребителят да се обади на посочения номер.

Трикът зад атаката

Ключовият момент е, че имейлът е напълно легитимен от техническа гледна точка:

• изпратен е от Apple сървъри
• преминава SPF, DKIM и DMARC проверки
• използва реални домейни като appleid@id.apple.com

Вместо да подправят имейл, атакуващите:

1. Създават нов Apple ID
2. Въвеждат фишинг съобщението в полетата за име (first/last name)
3. Променят информация за доставка в профила
4. Системата на Apple автоматично изпраща известие, в което включва тези полета

Така фишинг съобщението се „вгражда“ в официален имейл.

Защо атаката е толкова ефективна

Тази техника комбинира няколко фактора:

• Високо доверие – имейлът идва от реален източник
• Заобикаляне на защити – няма spoofing, което прави филтрите по-малко ефективни
• Психологически натиск – съобщения за неоторизирана покупка

Освен това, анализ показва, че съобщенията често се разпространяват чрез пощенски списъци, което позволява масово достигане до потенциални жертви.

Какво следва след обаждането

Този тип атака е част от т.нар. callback phishing. При обаждане:

• измамниците се представят за поддръжка
• убеждават жертвата, че акаунтът е компрометиран
• искат инсталиране на remote access софтуер
• събират финансови данни

В минали кампании това е водило до:

• източване на банкови средства
• инсталиране на зловреден софтуер
• кражба на чувствителна информация

По-широката картина

Тази кампания показва ясна тенденция – атакуващите все по-често злоупотребяват с легитимни функционалности на големи платформи, вместо да разчитат на класически фалшиви имейли.

Подобен подход вече беше наблюдаван при злоупотреба с iCloud Calendar покани, което потвърждава, че екосистемата на Apple се превръща в привлекателна мишена за социално инженерство.

Как да се предпазим

Основни признаци на подобна атака:

• неочаквано известие за покупка
• натиск за спешно действие
• телефонен номер вместо официален канал
• непознат имейл адрес в съдържанието

Добри практики:

• не се обаждайте на номера от имейла
• проверявайте акаунта си директно през официалния сайт
• не инсталирайте софтуер по указание на непознати
• използвайте многофакторна автентикация

Макар и технически „чисти“, тези атаки са изключително опасни, защото експлоатират доверието в легитимни услуги. С нарастващата им сложност, защитата вече не зависи само от технологии, а и от информираността на потребителите.