it

Apple 계정 변경 알림이 피싱 이메일 전송에 악용됨

발행: (2026년 4월 20일 AM 01:03 GMT+9)
6 분 소요
원문: Bleeping Computer

Source: Bleeping Computer

Source:

Overview

Apple 계정 변경 알림이 악용되어 Apple 서버에서 발송된 정상적인 이메일 안에 가짜 iPhone 구매 피싱 사기가 삽입되고 있습니다. 정식 메일처럼 보이게 함으로써 스팸 필터를 우회하고, 수신자가 사기에 속을 가능성이 높아집니다.

한 독자는 자신의 계정 정보가 업데이트되었다는 표준 Apple 보안 알림처럼 보이는 이메일을 공유했습니다. 그 메시지 안에는 $899 iPhone 구매가 PayPal을 통해 이루어졌다고 주장하는 피싱 유인 문구와 거래를 취소하기 위한 전화번호가 포함되어 있었습니다.

“Dear User 899 USD iPhone Purchase Via Pay‑Pal To Cancel 18023530761,” 라는 피싱 이메일에 적혀 있습니다.
“The following changes to your Apple Account, hxfedna24005@icloud.com, were made on April 14, 2026 at 7:01:40 PM GMT:”
“Shipping Information”


Callback phishing email abusing Apple Account change notifications
Source: BleepingComputer

이러한 이메일은 수신자에게 자신의 계정이 사기 구매에 사용되었다고 착각하게 만들고, 사기꾼의 “지원” 번호로 전화를 걸도록 위협합니다. 피해자가 전화를 걸면 사기꾼은 계정이 해킹당했다는 사실을 설득하려 하고, 원격 접근 소프트웨어를 설치하거나 금융 정보를 제공하도록 요구할 수 있습니다. 이전의 콜백 피싱 캠페인에서는 이러한 원격 접근을 이용해 자금을 탈취하거나, 악성코드를 배포하거나, 데이터를 유출한 사례가 보고되었습니다.

Apple 계정 알림 악용

피싱 유인 자체는 새롭지 않지만, 이번 캠페인은 위협 행위자들이 합법적인 Apple 서비스를 악용하여 전술을 지속적으로 진화시키고 있음을 보여줍니다.

  • 피싱 이메일은 appleid@id.apple.com 주소를 사용해 Apple 인프라에서 발송되었습니다.
  • SPF, DKIM, DMARC 검사를 모두 통과했으며, 이는 정식 Apple 서명 메시지임을 나타냅니다.
dkim=pass header.d=id.apple.com header.i=@id.apple.com header.b=o3ICBLWN
spf=pass (spf.icloud.com: domain of uatdsasadmin@email.apple.com designates 17.111.110.47 as permitted sender) smtp.mailfrom=uatdsasadmin@email.apple.com

헤더 분석 결과 메시지는 Apple 메일 서버에서 발송된 것이 확인되었으며, 위조된 것이 아닙니다:

Initial server: rn2-txn-msbadger01107.apple.com
Outbound relay: outbound.mr.icloud.com
IP address: 17.111.110.47 (Apple‑owned)

공격 흐름

  1. Apple ID 생성 – 공격자는 새로운 Apple 계정을 등록합니다.
  2. 피싱 텍스트 삽입 – 사기 메시지는 계정 프로필의 이름 필드에 나눠서 저장됩니다. 각 필드가 전체 텍스트를 담을 수 없기 때문입니다.
  3. 배송 정보 수정 – 배송 정보를 변경하면 Apple의 “계정 프로필 변경” 알림이 트리거됩니다.
  4. 악성 알림 전송 – Apple은 사용자 제공 이름과 성 필드를 알림 이메일에 포함시켜, 피싱 유인을 정식 알림처럼 삽입합니다.


Apple 계정 이름 필드를 변경하여 복제 공격
Source: BleepingComputer

그 후 공격자는 이 알림을 다수의 대상에게 전송할 수 있으며, 보통 메일링 리스트를 활용합니다. 원본 수신자와 최종 전달 주소가 다르다는 점은 단일 피해자를 넘어선 배포 메커니즘이 존재함을 시사합니다.

관련 악용 사례

유사한 캠페인이 iCloud 캘린더 초대를 악용해 Apple 서버를 통해 가짜 구매 알림을 전송한 바 있습니다. 자세한 내용은 이전 보고서를 참고하세요: iCloud Calendar abused to send phishing emails from Apple’s servers.

Mitigation recommendations

  • 예상치 못한 계정 알림—특히 구매를 주장하거나 지원 번호로 전화하라고 하는 경우—에 대해 회의적인 태도를 유지하십시오.
  • 조치를 취하기 전에 Apple 계정이나 판매자에게 직접 해당 거래를 확인하십시오.
  • 원치 않는 보안 알림에 제공된 링크를 클릭하거나 번호로 전화하지 마십시오.
  • 의심스러운 Apple 이메일을 Apple의 abuse 팀에 보고하십시오.

BleepingComputer는 이 캠페인에 대해 Apple에 연락했지만 아직 답변을 받지 못했습니다. 완화 조치가 구현될 때까지 악용 가능성이 남아 있습니다.

0 조회
#Apple #phishing #email security #account change alerts #cybersecurity #social engineering #PayPal #iPhone purchase scam
원문 보기
Share:
Back to Blog

관련 글

더 보기 »