Eine Phishing-Kampagne wurde vor kurzem erkannt, dass nutzt Apples legitime Kontoänderung Benachrichtigungen, um einen Decoy einfügen: Nachrichten, die auf einen betrügerischen Kauf eines iPhone alarmieren und das Opfer ermutigen, eine "Unterstützungs" Nummer. Was diese Täuschung unterscheidet, ist, dass die E-Mails von der eigenen Infrastruktur von Apple gesendet werden und die üblichen Echtheitsprüfungen übertreffen, die ihr Aussehen der Legitimität drastisch erhöht.
Laut der von BlepingComputer, Angreifer erstellen eine Apple-ID und verwenden die sichtbaren Felder des Profils - Name und Nachname -, um den Text des Betrugs einzuführen. Dann ändern sie die Profil-Sendeinformationen, die Apples Standard-Benachrichtigung über Kontoänderungen auslöst. Da diese Warnung die vom Angreifer bereitgestellten Daten aus dem ersten und zweiten Namen enthält, ist die schädliche Nachricht in eine echte Mail eingebettet, die von Apple-Servern gesendet wird.
Aus technischer Sicht ist dies besonders beunruhigend: Die E-Mail kommt von Apple-assoziierten Adressen und führt die Echtheitsprüfungen von E-Mails wie SPF, DKIM und DMARC durch. In der Praxis bedeutet das, dass viele Spamfilter und automatische Erkennungssysteme die Nachricht nicht als Verdächtiger markieren, weil die Header zeigen, dass die Lieferung durch autorisierte Infrastruktur erfolgt. Es ist ein Manöver, das eine legitime Funktion des Dienstes nutzt, um Bedrohungen unter dem Aussehen der Sicherheit zu filtern.
Das ultimative Ziel des Betrugs ist es, den Empfänger zu veranlassen, die in der Post enthaltene Nummer anzurufen. Einmal im Anruf handeln die Betrüger als "Unterstützung" und suchen das Opfer, Remote Access Tools zu installieren, Anmeldeinformationen oder Finanzdaten zu liefern oder Transfers zu autorisieren. Diese "Callback Phishing"-Systeme sind nicht neu, aber ihre Kombination mit legitimen Nachrichten, die von vertrauenswürdigen Anbietern gesendet werden, erhöht das Risiko und die Effektivität. In früheren Kampagnen wurde der auf diese Weise erhaltene Remote-Zugriff verwendet, um Bankkonten zu leeren, Malware einzusetzen oder sensible Informationen zu stehlen.
Es gibt eine Geschichte, die zeigt, dass die Angreifer nicht mit einem einzigen Track passen: In der Vergangenheit wurden iCloud-Kalender-Einladungen ausgenutzt, um falsche Benachrichtigungen zu verbreiten und jetzt wird das gleiche Muster, das auf Profilalarmen angewendet wird, beobachtet. Sie können mehr Kontext finden, wie legitime Plattformfunktionen missbraucht wurden, um Spam und Betrug in spezialisierten Berichten wie Krebs auf Sicherheit und die sehr Folge von BleepingComputer.
Was sollte ein Nutzer tun, der eine solche E-Mail erhält? Das erste ist, ruhig zu bleiben und jede Nachricht, die dringende Handlung per Telefon fordert oder unaufgeforderte Zahlen enthält, zu misstrauen. Rufen Sie die Nummer in der Mail nicht an oder klicken Sie auf Links in der Nachricht. Stattdessen sollten Sie auf Ihre Apple-Konto von einem Browser durch Schreiben der offiziellen Adresse (oder mit der Einstellungs-App auf Ihrem Gerät) und Überprüfung der Aktivität und Versandinformationen von dort. Ändern Sie das Passwort, überprüfen Sie die verlinkten Geräte und stellen Sie sicher, dass eine zweistufige Überprüfung oder Authentifizierung von zwei Faktoren aktiv sind, sind wesentliche Maßnahmen zur Reduzierung von Schäden.
Darüber hinaus ist es wichtig, den Vorfall an Apple über seine offiziellen Kanäle zu melden und die Original-Mail zu behalten, falls es notwendig ist, ihn als Beweis darzustellen. Apple bietet Empfehlungen, wie man betrügerische E-Mails in seinem Support-Center identifiziert; folgen Sie diesen Richtlinien und verwenden Sie nur offizielle Kontaktrouten vermeiden, in Fallen zu fallen. Sie können die Apple-Richtlinien auf Ihrer Hilfeseite über verdächtige E-Mails bei https: / / support.apple.com / en-us / HT204759.
Es ist auch erwähnenswert, warum SPF, DKIM und DMARC Kontrollen, obwohl sehr nützlich, keine absolute Garantie sind. Diese Technologien helfen zu überprüfen, ob eine Mail von Servern kommt, die von einer Domain autorisiert sind, aber nicht legitime Nutzer dieser Domain oder Konten, die innerhalb der Plattform erstellt werden, daran hindern können, schädlichen Text in sichtbaren Feldern aufzunehmen. Um zu verstehen, wie diese Authentifizierungsschichten funktionieren und was ihre Grenzen sind, ist es nützlich, zuverlässige technische Dokumentationen zu überprüfen, wie z.B. Googles auf Mail-Supplanting-Schutz (SPF / DKIM / DMARC) in https: / / support.google.com / a / ansher / 33786.
Schließlich, wenn jemand den Anweisungen des Betrugs gefolgt ist - installierte Remote-Software, freigegebene Passwörter oder Bankdaten - Sie müssen die Kommunikation, trennen Sie das Netzwerkgerät, ändern Sie die Passwörter von einem anderen sicheren Computer und kontaktieren Sie Ihre Bank, um betroffene Operationen und Konten zu blockieren. Es wird auch empfohlen, den Verbraucherbehörden eine Beschwerde einzureichen; in den Vereinigten Staaten beispielsweise FTC bietet Ressourcen und Empfehlungen auf Telefonbetrügen.
Dieser Fall erinnert daran, dass die Angreifer ihre Methoden weiter verfeinern und dass die legitimen Funktionalitäten der Plattformen gegen sie verdreht werden können. Die beste Verteidigung ist Vorsicht: auf eigene Weise die Aktivität des Kontos zu überprüfen, nicht blind auf die Dringlichkeit der Nachricht verlassen und immer die offiziellen Kanäle für jede Klarstellung verwenden. Während die Lieferanten zusätzliche Kontrollen durchführen, bleibt die Kombination von kritischem Nutzersinn und grundlegenden Sicherheitspraktiken die wirksamste Barriere gegen diese Betrugsfälle.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...