Zpět na domů

Phishing přes upozornění Apple: jak poznat padělek

Popisán nový vektor phishingového útoku, při kterém útočníci implementují škodlivé zprávy do oficiálních upozornění Apple o změně údajů účtu. Útok využívá legitimní infrastrukturu společnosti a prochází všemi standardními kontrolami autenticity e-mailu.

Nový phishingový útok přes upozornění Apple: detaily a ochrana
Advertisement 728x90

# Phishing přes oznámení Apple: jak hackeři obcházejí spamové filtry

Hackeři se naučili vkládat phishingová hlášení do oficiálních oznámení Apple s využitím legitimní infrastruktury společnosti. Taková e-maily procházejí všemi kontrolami autenticity — SPF, DKIM a DMARC — a vypadají jako skutečná upozornění na změnu údajů účtu. To útočníkům umožňuje obcházet spamové filtry a zvyšovat důvěru obětí.

Mechanism útoku

Útočník vytvoří účet Apple ID a změní v něm pole jména a příjmení tak, že tam umístí phishingový text. Například v jednom případě stálo v poli jména: „Zakoupili jste iPhone za 899 USD přes PayPal“, zatímco v příjmení byl číslo telefonu „služby podpory“. Poté útočník změní údaje o dodání v profilu, což automaticky spustí odeslání oznámení od Apple o změně v účtu.

Protože Apple zahrnuje do těla e-mailu hodnoty polí jména a příjmení, které uživatel zadal, stane se phishingová zpráva součástí oficiálního oznámení. E-mail je odeslán z adresy [email protected] s IP adresou 17.111.110.47 patřící Apple a prochází všemi standardními kontrolami autentizace e-mailu:

Google AdInline article slot
dkim=pass header.d=id.apple.com [email protected] header.b=o3ICBLWN
spf=pass (spf.icloud.com: domain of [email protected] designates 17.111.110.47 as permitted sender) [email protected]

Analýza hlaviček potvrzuje, že e-mail skutečně pochází z infrastruktury Apple:

  • Původní server: rn2-txn-msbadger01107.apple.com
  • Odchozí relé: outbound.mr.icloud.com
  • IP adresa odesílatele: 17.111.110.47 (patří Apple Inc.)

Šíření přes mailing listy

Původně je oznámení odesláno na iCloud adresu vázanou k účtu útočníka. Konečné oběti však dostávají stejný e-mail na své externí e-mailové schránky. To naznačuje použití mechanismu přeposílání nebo mailing listu. Pravděpodobně útočník přidá cílové adresy do seznamu kontaktů a využije funkci hromadného oznámení při změně profilu.

Tento přístup dělá útok obzvláště nebezpečným: příjemce vidí e-mail, který prošel všemi technickými kontrolami autenticity, s správnými hlavičkami a doménou odesílatele. Dokonce i zkušení uživatelé mohou podvod neodhalit.

Google AdInline article slot

Cíle a důsledky

Pokud oběť zavolá na uvedené číslo, podvodníci se vydají za zaměstnance podpory Apple a tvrdí, že byl účet kompromitován. Poté mohou:

  • Přesvědčit uživatele, aby nainstaloval PO pro vzdálený přístup (např. AnyDesk nebo TeamViewer).
  • Požádat o údaje kreditní karty nebo bankovního účtu k „zrušení transakce“.
  • Pokusit se získat dvoufázový kód nebo heslo k Apple ID.
  • Využít vzdálený přístup k instalaci škodlivého PO nebo krádeži dat.

Podobné taktiky byly dříve použity v útocích přes pozvánky do iCloud kalendáře, kde se phishingová hlášení maskovala jako oznámení o nákupech. Nový vektor — přes oznámení o změně profilu — je ještě přesvědčivější, protože souvisí s bezpečností účtu.

Co je důležité

  • Autenticita negarantuje bezpečnost: i e-maily, které prošly SPF/DKIM/DMARC, mohou obsahovat škodlivý obsah, pokud útočník zneužije legitimní služby.
  • Apple není přímo vinen: zranitelnost spočívá v tom, že systém zahrnuje uživatelská data do oznámení bez sanitiace.
  • Uživatelé by měli ignorovat kontaktní údaje v oznámeních: oficiální podpora Apple nikdy neuvede telefonní číslo v automatických e-mailech.
  • Změny v profilu vyžadují ověření: jakákoli změna údajů účtu musí být potvrzena dvoufázovou autentizací — ale oznámení může být zfalšováno před tímto krokem.
  • Sledovat neobvyklá jména v účtech: pokud se ve vašem Apple ID objeví podivné jméno nebo příjmení — je to známka kompromitace.

Vývojářům a správci bezpečnosti by mělo být jasné, že důvěryhodné kanály doručování (včetně oznámení od velkých platforem) mohou být zneužity pro sociální inženýrství. Filtrování obsahu pouze na základě technické autenticity nestačí — je nutná analýza sémantiky a chování vzorců.

Google AdInline article slot

— Editorial Team

Advertisement 728x90

Číst dál