近期一种新型钓鱼攻击手段被曝光,攻击者利用苹果账户(Apple ID)的系统通知功能漏洞,通过苹果官方服务器(appleid@id.apple.com)发送看似合法的邮件进行诈骗。这些邮件通过了SPF、DKIM和DMARc身份验证,且发件IP地址归属于苹果公司,因此极易绕过传统垃圾邮件过滤器。邮件内容伪装成账户信息更新或购买警报,声称用户近期完成了一笔899美元的iPhone交易,诱导用户拨打邮件中提供的虚假客服电话,而非苹果官方热线。
一旦用户回拨该电话,诈骗者会冒充苹果技术支持人员,谎称用户账户被盗,进而诱导其提供财务信息,甚至要求安装远程访问软件(如AnyDesk或TeamViewer),从而完全控制受害者的设备并窃取隐私数据。调查显示,攻击者通过创建Apple ID并利用系统漏洞发送邮件,使得邮件头信息显示为合法的苹果服务器数据,导致检查发件人地址和邮件头的方法失效,极具欺骗性。这种攻击不仅威胁iPhone 17等潜在用户,对所有苹果生态用户均构成安全风险。
从网络安全趋势来看,这种利用可信基础设施(如官方邮件服务器)进行的“供应链式”钓鱼攻击,正成为黑灰产的新宠,因为它利用了用户对大品牌官方通信的信任背书。这要求用户必须改变“官方发件即安全”的认知,对于邮件中提及的金融交易或账户变更,应直接通过官方App或官网核实,绝不轻信邮件内附带的联系方式。同时,这也警示科技厂商需进一步收紧系统通知接口,防止官方通信渠道被恶意滥用,保护用户免受基于信任的欺诈。
