Apple-fiókváltozási értesítések adathalászatra
A BleepingComputer egy phishing technikát mutat be, ahol a támadók nem hamisítják az Apple-t, hanem annak legitim értesítési rendszerét használják támadásra. A kampány lényege, hogy a támadók visszaélnek az Apple fiókváltozásokról küldött automatikus értesítésekkel. Ezek az e-mailek valóban az Apple infrastruktúrájából érkeznek, és átmennek minden hitelesítési ellenőrzésen, így a legtöbb spam- és biztonsági szűrő nem blokkolja őket.
A támadás nem exploit, hanem funkcionális visszaélés. A támadók létrehoznak egy új Apple ID-t, majd a profiladatok kitöltésekor beleírják a phishing üzenetet, így például egy termék vásárlását. Ezután egy apró módosítással kiváltják az Apple automatikus értesítését, amely már ezt a manipulált szöveget tartalmazza, és elküldi az áldozatnak.
Az eredmény egy technikailag teljesen legitim, de tartalmában rosszindulatú e-mail. A felhasználó egy valódi Apple biztonsági értesítést lát, amelyben egy hamis tranzakcióra hivatkozó üzenet és egy telefonszám szerepel.
A támadás célja jellemzően callback phishing. Az áldozatot arra veszik rá, hogy felhívja a megadott support számot, ahol a támadók hitelesítési adatokat kérnek, pénzügyi információkat próbálnak megszerezni, vagy távoli hozzáférési szoftver telepítésére veszik rá.
A módszer megtöri a klasszikus biztonsági ellenőrzési logikát, mert a felhasználók és rendszerek általában megbíznak a hiteles feladói domainben, de ebben az esetben maga a platform válik a támadás közvetítőjévé.
A támadók egyre inkább legitim szolgáltatások és workflow-k kihasználására építenek, nem pedig hagyományos spoofingra vagy exploitokra. Ez jelentősen csökkenti a detektálhatóságot, mivel a támadás minden technikai szempontból normálisnak tűnik.
