# Phishing přes oznámení Apple: jak hackeři obcházejí spamové filtry
Hackeři se naučili vkládat phishingová hlášení do oficiálních oznámení Apple s využitím legitimní infrastruktury společnosti. Taková e-maily procházejí všemi kontrolami autenticity — SPF, DKIM a DMARC — a vypadají jako skutečná upozornění na změnu údajů účtu. To útočníkům umožňuje obcházet spamové filtry a zvyšovat důvěru obětí.
Mechanism útoku
Útočník vytvoří účet Apple ID a změní v něm pole jména a příjmení tak, že tam umístí phishingový text. Například v jednom případě stálo v poli jména: „Zakoupili jste iPhone za 899 USD přes PayPal“, zatímco v příjmení byl číslo telefonu „služby podpory“. Poté útočník změní údaje o dodání v profilu, což automaticky spustí odeslání oznámení od Apple o změně v účtu.
Protože Apple zahrnuje do těla e-mailu hodnoty polí jména a příjmení, které uživatel zadal, stane se phishingová zpráva součástí oficiálního oznámení. E-mail je odeslán z adresy [email protected] s IP adresou 17.111.110.47 patřící Apple a prochází všemi standardními kontrolami autentizace e-mailu:
dkim=pass header.d=id.apple.com [email protected] header.b=o3ICBLWN
spf=pass (spf.icloud.com: domain of [email protected] designates 17.111.110.47 as permitted sender) [email protected]
Analýza hlaviček potvrzuje, že e-mail skutečně pochází z infrastruktury Apple:
- Původní server: rn2-txn-msbadger01107.apple.com
- Odchozí relé: outbound.mr.icloud.com
- IP adresa odesílatele: 17.111.110.47 (patří Apple Inc.)
Šíření přes mailing listy
Původně je oznámení odesláno na iCloud adresu vázanou k účtu útočníka. Konečné oběti však dostávají stejný e-mail na své externí e-mailové schránky. To naznačuje použití mechanismu přeposílání nebo mailing listu. Pravděpodobně útočník přidá cílové adresy do seznamu kontaktů a využije funkci hromadného oznámení při změně profilu.
Tento přístup dělá útok obzvláště nebezpečným: příjemce vidí e-mail, který prošel všemi technickými kontrolami autenticity, s správnými hlavičkami a doménou odesílatele. Dokonce i zkušení uživatelé mohou podvod neodhalit.
Cíle a důsledky
Pokud oběť zavolá na uvedené číslo, podvodníci se vydají za zaměstnance podpory Apple a tvrdí, že byl účet kompromitován. Poté mohou:
- Přesvědčit uživatele, aby nainstaloval PO pro vzdálený přístup (např. AnyDesk nebo TeamViewer).
- Požádat o údaje kreditní karty nebo bankovního účtu k „zrušení transakce“.
- Pokusit se získat dvoufázový kód nebo heslo k Apple ID.
- Využít vzdálený přístup k instalaci škodlivého PO nebo krádeži dat.
Podobné taktiky byly dříve použity v útocích přes pozvánky do iCloud kalendáře, kde se phishingová hlášení maskovala jako oznámení o nákupech. Nový vektor — přes oznámení o změně profilu — je ještě přesvědčivější, protože souvisí s bezpečností účtu.
Co je důležité
- Autenticita negarantuje bezpečnost: i e-maily, které prošly SPF/DKIM/DMARC, mohou obsahovat škodlivý obsah, pokud útočník zneužije legitimní služby.
- Apple není přímo vinen: zranitelnost spočívá v tom, že systém zahrnuje uživatelská data do oznámení bez sanitiace.
- Uživatelé by měli ignorovat kontaktní údaje v oznámeních: oficiální podpora Apple nikdy neuvede telefonní číslo v automatických e-mailech.
- Změny v profilu vyžadují ověření: jakákoli změna údajů účtu musí být potvrzena dvoufázovou autentizací — ale oznámení může být zfalšováno před tímto krokem.
- Sledovat neobvyklá jména v účtech: pokud se ve vašem Apple ID objeví podivné jméno nebo příjmení — je to známka kompromitace.
Vývojářům a správci bezpečnosti by mělo být jasné, že důvěryhodné kanály doručování (včetně oznámení od velkých platforem) mohou být zneužity pro sociální inženýrství. Filtrování obsahu pouze na základě technické autenticity nestačí — je nutná analýza sémantiky a chování vzorců.
— Editorial Team
Zatím žádné komentáře.