„Apple“ paskyros keitimo pranešimais piktnaudžiaujama siekiant siųsti netikras „iPhone“ pirkinių sukčiavimo sukčiavimo aferas teisėtuose el. laiškuose, siunčiamuose iš „Apple“ serverių, taip padidinant teisėtumą ir galbūt leidžiant jiems apeiti šiukšlių filtrus.
Skaitytojas su „BleepingComputer“ pasidalijo el. laišku, kuris atrodė kaip standartinis „Apple“ saugos pranešimas, kuriame teigiama, kad jų paskyros informacija buvo atnaujinta.
Tačiau žinutėje buvo įterptas sukčiavimo vilioklis, teigiantis, kad per PayPal buvo įsigytas „iPhone“ už 899 USD, taip pat telefono numeris, kuriuo paskambinus norint atšaukti operaciją.
„Gerbiamas naudotojau, 899 USD iPhone pirkimas per Pay-Pal, kad atšauktų 18023530761“, – rašoma Apple paskyros sukčiavimo el. laiške.
„Šie jūsų Apple paskyros hxfedna24005@icloud.com pakeitimai buvo atlikti 2026 m. balandžio 14 d., 19.01.40 val. GMT:“
„Pristatymo informacija”
Šaltinis: BleepingComputer
Šie el. laiškai skirti apgaudinėti gavėjus, kad jie manytų, kad jų sąskaitos buvo panaudotos nesąžiningiems pirkiniams, ir įgąsdinti, kad jie skambintų sukčiaus „palaikymo“ numeriu.
Skambindami šiuo numeriu, sukčiai paprastai bando įtikinti aukas, kad jų paskyros buvo pažeistos, ir gali nurodyti įdiegti nuotolinės prieigos programinę įrangą arba pateikti finansinę informaciją.
Ankstesnėse sukčiavimo atgalinio skambučio kampanijose ši nuotolinė prieiga buvo naudojama lėšoms iš banko sąskaitų pavogti, kenkėjiškoms programoms įdiegti arba duomenims pavogti.
Piktnaudžiavimas Apple paskyros pranešimais
Nors sukčiavimo viliojimas nėra naujas, kampanija iliustruoja, kaip grėsmės veikėjai ir toliau tobulina savo taktiką išnaudodami teisėtas svetainės funkcijas atakoms vykdyti.
Sukčiavimo el. laiškas buvo išsiųstas iš Apple infrastruktūros naudojant adresą appleid@id.apple.com ir išlaikė SPF, DKIM ir DMARC autentifikavimo patikras, nurodant, kad tai buvo teisėtas Apple el. laiškas.
dkim=pass header.d=id.apple.com header.i=@id.apple.com header.b=o3ICBLWN
spf=pass (spf.icloud.com: domain of uatdsasadmin@email.apple.com designates 17.111.110.47 as permitted sender) smtp.mailfrom=uatdsasadmin@email.apple.com
Tolesnė el. laiškų antraščių analizė rodo, kad laiškas kilo iš Apple pašto infrastruktūros ir nebuvo suklastotas.
Initial server: rn2-txn-msbadger01107.apple.com
Outbound relay: outbound.mr.icloud.com
IP address: 17.111.110.47 (Apple-owned)
Norėdami įvykdyti ataką, grėsmės veikėjas sukuria Apple ID ir įterpia sukčiavimo pranešimą į paskyros asmeninės informacijos laukus, padalijant tekstą vardo ir pavardės laukuose.
„BleepingComputer“ sugebėjo atkartoti šį elgesį sukurdama bandomąją „Apple“ paskyrą ir įtraukdama panašią atgalinio sukčiavimo kalbą prie vardo ir pavardės laukų. Taip yra todėl, kad kiekviename lauke negali būti viso sukčiavimo pranešimo.
Šaltinis: BleepingComputer
Kad suaktyvintų Apple paskyros profilio keitimo pranešimą, užpuolikas pakeičia paskyros pristatymo informaciją, todėl Apple siunčia saugos įspėjimą, informuojantį vartotoją apie pakeitimą.
Kadangi „Apple“ šiuose pranešimuose įtraukia vartotojo pateiktus vardo ir pavardės laukus, sukčiavimo pranešimas įterpiamas tiesiai į el. laišką ir pateikiamas kaip teisėto įspėjimo dalis.
Nors atakų taikinys gavo pranešimą, el. laiškas iš pradžių buvo išsiųstas „iCloud“ el. pašto adresu, susietu su užpuoliko paskyra. Šis el. pašto adresas taip pat įtrauktas į pranešimo el. laišką, todėl el. laiškas atrodo labiau susirūpinęs ir galbūt kas nors gali manyti, kad į paskyrą buvo įsilaužta.
Antraštės analizė rodo, kad pradinis gavėjas skiriasi nuo galutinio pristatymo adreso, o tai rodo, kad užpuolikas greičiausiai naudoja adresų sąrašą, kad išplatintų el. laiškus keliems tikslams.
Ši kampanija yra panaši į ankstesnę sukčiavimo kampaniją, kurioje piktnaudžiaujama „iCloud Calendar“, kviečiama siųsti netikrus pirkimo pranešimus per „Apple“ serverius.
Paprastai naudotojai turėtų atsargiai vertinti netikėtus paskyros įspėjimus, kuriuose teigiama, kad jie įsigijo, arba raginami skambinti palaikymo numeriais, ypač jei jie neatliko jokių naujausių pakeitimų arba juose yra neįprastų el. pašto adresų.
„BleepingComputer“ penktadienį susisiekė su „Apple“ dėl šios kampanijos, tačiau atsakymo negavo, o piktnaudžiavimas vis dar galimas.
AI sujungė keturias nulio dienas į vieną išnaudojimą, kuris aplenkė tiek atvaizdavimo įrenginį, tiek OS smėlio dėžes. Ateina naujų išnaudojimų banga.
Autonominio patvirtinimo aukščiausiojo lygio susitikime (gegužės 12 ir 14 d.) pamatysite, kaip autonominis, daug konteksto patvirtinantis patvirtinimas randa tai, kas yra išnaudojama, įrodo, kad valdikliai galioja, ir uždaro taisymo kilpą.
