网络钓鱼欺诈滥用Apple 自己的通知系统

一种新的网络钓鱼活动利用Apple 的帐户变更通知系统，在直接从Apple 自己的服务器发送的电子邮件中发送购买 iPhone 的欺诈信息。

这些电子邮件通过了 SPF、DKIM 和 DMARC 身份验证检查，并且发自 [email protected]，因此在技术层面上与合法的Apple 安全警报没有区别。

攻击原理

BleepingComputer 首次记录并复制了这种方法。.攻击者创建了一个标准的Apple ID，并将钓鱼信息分发给账户的姓和名两个字段，因为任何一个字段都不足以容纳全文。然后，攻击者对账户的发货信息稍作修改，就会触发Apple 的自动安全通知系统。

由于Apple 会将用户提供的姓名字段直接发送到其警报电子邮件中，因此钓鱼信息被嵌入到合法通知中，并从Apple 自己的邮件基础设施中发送。电子邮件通过Apple 的出站中继，并顺利通过所有标准验证检查。

电子邮件声称

嵌入的信息告诉收件人，$899 的 iPhone是通过 PayPal 用他们的账户购买的，并提供了一个电话号码供收件人致电取消交易。该电话号码无法连接到Apple 。接通电话后，受害者会被告知他们的账户已被入侵，骗子会要求他们安装远程访问软件或直接交出财务信息。

标准检测失败的原因及应对措施

根据发件人身份验证对邮件进行评分的垃圾邮件过滤器会顺利通过此拦截。发件人地址、域名和基础结构都属于Apple 。结构上的信息是唯一的线索。邮件以 "亲爱的用户 "开头，而不是收件人的姓名，引用的 iCloud 地址不属于收件人，也没有真正的Apple 购买收据总是包含的账单地址。

请勿拨打任何嵌入在未经请求的Apple 提示中的号码。直接登录 appleid.apple.com 查看购买记录。Apple合法的支持号码都列在 apple.com，绝不会出现在账户变更通知中。如果来电者要求您安装远程访问软件，请立即挂断电话。

Apple 我们已将此问题通知了苹果公司。目前还没有修复方案，攻击仍在进行中。