Apple превратили в фишинг-ретранслятор: мошенники вшивают приманку в легитимные уведомления

20.04.2026

Злоумышленники начали использовать штатные уведомления Apple об изменении данных аккаунта для рассылки callback-фишинга. Схема опасна тем, что письмо уходит с реальной инфраструктуры Apple, проходит SPF, DKIM и DMARC, а значит выглядит легитимно и с высокой вероятностью обходит почтовые фильтры.

Механика атаки строится на полях профиля Apple ID. Атакующий создает аккаунт и разбивает фишинговое сообщение между полями имени и фамилии, например вставляя текст о якобы покупке iPhone на 899 долларов и номер «поддержки» для отмены операции. Затем он меняет shipping information, после чего Apple автоматически отправляет security alert, куда подставляются пользовательские поля. В результате приманка оказывается внутри настоящего системного письма.

Дополнительный эффект дает сама структура уведомления. В письме фигурирует iCloud-адрес, привязанный к аккаунту злоумышленника, из-за чего у получателя возникает ощущение, что его учетную запись действительно кто-то изменил. Анализ заголовков также показал расхождение между исходным получателем и финальной доставкой, что указывает на использование рассылочных списков для массовой доставки таких уведомлений.

Цель атаки не в краже пароля через ссылку, а в звонке на номер мошенников. Дальше жертву убеждают, что аккаунт скомпрометирован, и под этим предлогом выманивают финансовые данные или заставляют установить ПО для удаленного доступа. В прошлых callback-кампаниях такой доступ уже использовали для вывода денег, кражи данных и установки вредоносного ПО. На момент публикации возможность злоупотребления оставалась открытой.