Мошенники научились рассылать фишинговые «уведомления безопасности» от Apple так, что письмо приходит с настоящего домена email.apple.com. Внутри — фейковая покупка iPhone за $899 (около 80 000 рублей) через PayPal и номер телефона, куда предлагают звонить, чтобы «отменить» заказ.
Схема старая по механике и опасная по исполнению. Это callback phishing: жертву пугают «покупкой», она звонит, а дальше её уговаривают отдать данные или открыть удалённый доступ к компьютеру. По описанию расследования, итогом становятся переводы денег и кража средств с банковских счетов.
Как злоумышленники используют регистрацию Apple ID
Ключевой трюк в том, что злоумышленники не подделывают адрес отправителя напрямую. Они злоупотребляют процессом создания Apple ID: поля имени и фамилии принимают настолько много символов, что туда помещают целое фишинговое сообщение, включая «текст покупки» и контактный телефон.
Дальше они меняют данные доставки в аккаунте. Это действие триггерит системное уведомление Apple о изменениях в учётной записи. Но письмо изначально уходит не жертве, а на адрес, который указали при регистрации аккаунта мошенники.
Последний шаг — рассылка уже получившихся писем через mailing list по множеству адресов. Так фишинговое письмо выглядит «чистым» по домену, DKIM/DMARC и другим базовым проверкам. И именно поэтому люди чаще верят ему на автомате.
Почему письмо с домена Apple всё равно может быть фишингом
В этой кампании выделяется именно доверенный домен отправителя. Психология простая: если пришло «от Apple», значит, это правда. Но содержание письма всё равно выдают типичные маркеры callback-фишинга.
- Искусственная срочность: вас торопят «отменить» покупку.
- Номер телефона в письме: вас уводят в звонок, где проще давить и манипулировать.
- Сценарий с удалённым доступом: дальше жертву склоняют открыть доступ к ПК и «помочь отменить платёж».
Похожие рассылки через списки рассылки уже встречались у крупных брендов. В описании кампании упоминаются случаи, где таким способом злоупотребляли именами Google, Amazon и Microsoft. Apple тоже использовали похожим образом в сентябре прошлого года, когда мошенники рассылали фишинг через приглашения iCloud Calendar.
Техническая мораль тут простая: домен отправителя больше не гарантирует, что смысл письма честный. Если письмо гонит вас «срочно звонить», это почти всегда плохой знак.
Разбор этой схемы опубликовали в BleepingComputer.
