Apple 账户更改提醒被滥用于发送网络钓鱼邮件

Source: Bleeping Computer

概述

Apple 账户更改通知正被滥用于在 Apple 服务器发送的合法邮件中嵌入伪造的 iPhone 购买钓鱼诈骗。额外的合法性帮助这些信息绕过垃圾邮件过滤器，并增加收件人上当受骗的可能性。

一位读者分享了一封看似标准的 Apple 安全通知邮件，称其账户信息已被更新。邮件中嵌入了一个钓鱼诱饵，声称通过 PayPal 进行了一笔 899 美元 iPhone 购买，并提供了一个电话号码以取消交易。

“尊敬的用户 899 美元 iPhone 通过 Pay‑Pal 购买 如需取消 请致电 18023530761，” 邮件如此写道。
“以下对您的 Apple 账户 hxfedna24005@icloud.com 所做的更改于 2026 年 4 月 14 日 7:01:40 PM GMT 进行：”
“收货信息”

滥用 Apple 账户更改通知的回拨钓鱼邮件
来源：BleepingComputer

这些邮件旨在欺骗收件人，以为他们的账户被用于欺诈性购买，并通过恐吓让他们拨打诈骗者的“支持”电话。当受害者拨打电话时，诈骗者常常试图说服他们账户已被泄露，并可能指示他们安装远程访问软件或提供财务信息。在之前的回拨钓鱼活动中，此类远程访问已被用于窃取资金、部署恶意软件或外泄数据。

Source: https://www.bleepingcomputer.com/news/security/abusing-apple-account-notifications/

滥用 Apple 账户通知

虽然钓鱼诱饵本身并不新鲜，但该活动展示了威胁行为者如何通过利用合法的 Apple 服务来不断演进其攻击手段。

• 钓鱼邮件是使用 Apple 基础设施发送的，发件地址为 appleid@id.apple.com。
• 邮件通过了 SPF、DKIM 和 DMARC 检查，表明它是由 Apple 正式签名的合法消息。

dkim=pass header.d=id.apple.com header.i=@id.apple.com header.b=o3ICBLWN
spf=pass (spf.icloud.com: domain of uatdsasadmin@email.apple.com designates 17.111.110.47 as permitted sender) smtp.mailfrom=uatdsasadmin@email.apple.com

标题分析确认该邮件来源于 Apple 邮件服务器，未被伪造：

Initial server: rn2-txn-msbadger01107.apple.com
Outbound relay: outbound.mr.icloud.com
IP address: 17.111.110.47 (Apple‑owned)

攻击工作流

1. 创建 Apple ID – 攻击者注册一个新的 Apple 账户。
2. 注入钓鱼文本 – 诈骗信息被拆分到账户资料的 名字 和 姓氏 字段中，因为单个字段无法容纳完整文本。
3. 修改收货信息 – 更改收货详情会触发 Apple 的“账户资料变更”通知。
4. 发送恶意警报 – Apple 在通知邮件中包含用户提供的名字和姓氏字段，将钓鱼诱饵直接嵌入看似合法的警报中。

通过更改 Apple 账户姓名字段进行的复制攻击
Source: BleepingComputer

随后，攻击者可以将该通知发送给多个目标，通常使用邮件列表。原始收件人与最终投递地址不同，表明其分发机制超出了单一受害者。

相关滥用

此前有类似活动滥用 iCloud 日历邀请，通过 Apple 服务器发送伪造的购买通知。详情请参阅早前的报告：iCloud Calendar abused to send phishing emails from Apple’s servers.

缓解建议

• 对意外的账户警报——尤其是声称有购买或要求拨打支持号码的——保持怀疑态度。
• 在采取行动前，直接在您的 Apple 账户或与商家核实任何所谓的交易。
• 不要点击未经请求的安全警报中提供的链接或拨打号码。
• 将可疑的 Apple 邮件报告给 Apple 的滥用团队。

BleepingComputer 已就此活动联系了 Apple，但尚未收到回复。在实施缓解措施之前，滥用仍有可能发生。