# 通过 Apple 通知进行钓鱼攻击:黑客如何绕过垃圾邮件过滤器
黑客已经学会利用苹果公司的合法基础设施,在官方 Apple 通知中嵌入钓鱼消息。这些邮件通过所有真实性验证——SPF、DKIM 和 DMARC——看起来就像是关于账户数据变更的真实警报。这让攻击者能够绕过垃圾邮件过滤器,并赢得受害者的信任。
攻击机制
攻击者创建一个 Apple ID 账户,并修改名字和姓氏字段,在那里插入钓鱼文本。例如,在一个案例中,名字字段写着:“您通过 PayPal 购买了一部 iPhone,金额 899 美元”,姓氏字段则包含一个“支持服务”电话号码。然后,黑客更改配置文件中的交付信息,这会自动触发 Apple 关于账户变更的通知。
由于 Apple 在邮件正文中包含用户指定的名字和姓氏字段值,钓鱼消息就成了官方通知的一部分。该邮件从 [email protected] 发送,IP 地址为 17.111.110.47,由 Apple 拥有,并通过所有标准邮件认证检查:
dkim=pass header.d=id.apple.com [email protected] header.b=o3ICBLWN
spf=pass (spf.icloud.com: domain of [email protected] designates 17.111.110.47 as permitted sender) [email protected]
头部分析确认该邮件确实来自 Apple 的基础设施:
- 源服务器:rn2-txn-msbadger01107.apple.com
- 出口中继:outbound.mr.icloud.com
- 发送者 IP 地址:17.111.110.47(由 Apple Inc. 拥有)
通过邮件列表分发
最初,该通知会发送到与攻击者账户关联的 iCloud 地址。然而,最终受害者会在外部邮箱收到相同的邮件。这表明使用了转发或邮件列表机制。可能黑客将目标地址添加到联系人列表,并在更改配置文件时使用群发通知功能。
这种方法让攻击特别危险:收件人看到一封通过所有技术真实性检查的邮件,带有正确的头部和发送域名。即使是经验丰富的用户也可能不会怀疑这是个把戏。
目标与后果
如果受害者拨打指定的电话号码,诈骗犯会冒充 Apple 支持人员,声称账户已被入侵。然后,他们可以:
- 说服用户安装远程访问软件(例如 AnyDesk 或 TeamViewer)。
- 要求提供信用卡或银行账户详情,以“取消交易”。
- 试图获取双因素验证码或 Apple ID 密码。
- 使用远程访问部署恶意软件或窃取数据。
类似手法此前曾在 iCloud 日历邀请攻击中使用,钓鱼消息伪装成购买通知。新向量——通过配置文件变更通知——更具说服力,因为它涉及账户安全。
要点
- 真实性并不保证安全:即使通过 SPF/DKIM/DMARC 的邮件,如果攻击者利用合法服务,也可能包含恶意内容。
- Apple 并非直接负责:漏洞源于系统在通知中包含用户数据而未进行清理。
- 用户应忽略通知中的联系方式:官方 Apple 支持绝不在自动化邮件中包含电话号码。
- 配置文件变更需验证:任何账户数据变更都必须通过双因素认证确认——但在此阶段通知可能被伪造。
- 监控账户中的异常姓名:如果您的 Apple ID 显示奇怪的名字或姓氏,那就是被入侵的迹象。
开发者和安全管理员应注意,可信交付渠道(包括主要平台的通知)可能被用于社会工程攻击。仅基于技术认证的内容过滤是不够的——需要语义分析和行为模式检测。
— Editorial Team
暂无评论。