Une campagne d'hameçonnage a été récemment détectée qui profite des notifications de changement de compte légitime d'Apple pour insérer un leurre: messages qui alertent à un achat frauduleux d'un iPhone et encouragent la victime à appeler un numéro de "support". Ce qui distingue cette tromperie, c'est que les emails sont envoyés de la propre infrastructure d'Apple et dépassent les vérifications habituelles de l'authenticité, ce qui augmente considérablement leur apparence de légitimité.
Selon l'enquête publiée par Calculateur, les attaquants créent un identifiant Apple et utilisent les champs visibles du profil - le nom et le nom - pour introduire le texte de la fraude. Ensuite, ils modifient les informations d'envoi de profil, ce qui déclenche la notification standard de changement de compte d'Apple. Comme cette alerte intègre les données du premier et du deuxième nom fournies par l'attaquant, le message malveillant est intégré dans un vrai courrier envoyé par les serveurs Apple.
Du point de vue technique, c'est particulièrement inquiétant: le courrier provient d'adresses associées à Apple et passe les contrôles d'authenticité des courriels tels que SPF, DKIM et DMARC. Dans la pratique, cela signifie que de nombreux filtres de spam et systèmes de détection automatique ne marquent pas le message comme un suspect, car les en-têtes montrent que la livraison a été effectuée par l'infrastructure autorisée. C'est une manœuvre qui exploite une caractéristique légitime du service pour filtrer les menaces sous l'apparence de la sécurité.
L'objectif ultime de la fraude est d'inciter le destinataire à appeler le numéro inclus dans le courrier. Une fois dans l'appel, les arnaqueurs agissent comme "support" et cherchent la victime pour installer des outils d'accès à distance, fournir des identifiants ou des données financières, ou autoriser les transferts. Ces systèmes de « callback hishing » ne sont pas nouveaux, mais leur combinaison avec des messages légitimes envoyés par des fournisseurs de confiance augmente le risque et l'efficacité. Dans les campagnes précédentes, l'accès à distance ainsi obtenu a été utilisé pour vider des comptes bancaires, déployer des logiciels malveillants ou voler des informations sensibles.
Il y a une histoire qui montre que les attaquants ne s'intègrent pas avec une seule piste: dans le passé, les invitations iCloud Calendar ont été exploitées pour distribuer de fausses notifications et maintenant le même modèle appliqué aux alertes de profil est observé. Vous pouvez trouver plus de contexte sur la façon dont les fonctions de plate-forme légitimes ont été abusés pour envoyer des pourriels et des escroqueries dans des rapports spécialisés tels que Krebs sur la sécurité et le suivi de BleepingComputer.
Que devrait faire un utilisateur qui reçoit un tel courriel? La première chose est de rester calme et de se méfier de tout message qui appelle à une action urgente par téléphone ou inclut des numéros non sollicités. N'appelez pas le numéro dans le courriel ou cliquez sur les liens dans le message. Vous devriez plutôt accéder à votre Compte Apple d'un navigateur en écrivant l'adresse officielle (ou en utilisant l'application Paramètres sur votre appareil) et en examinant les informations d'activité et d'expédition à partir de là. Changer le mot de passe, revoir les appareils liés et s'assurer que la vérification en deux étapes ou l'authentification de deux facteurs sont actives sont des mesures essentielles pour réduire les dommages.
En outre, il est important de signaler l'incident à Apple par ses canaux officiels et de conserver le courrier original au cas où il serait nécessaire de le présenter comme preuve. Apple propose des recommandations sur la façon d'identifier les e-mails frauduleux dans son centre de support; suivre ces lignes directrices et utiliser uniquement les itinéraires de contact officiels évite de tomber dans les pièges. Vous pouvez voir les lignes directrices Apple sur votre page d'aide sur les courriels suspects à https: / / support.apple.com / fr-us / HT204759.
Il convient également de rappeler pourquoi les contrôles SPF, DKIM et DMARC, bien que très utiles, ne sont pas une garantie absolue. Ces technologies aident à vérifier qu'un courriel provient de serveurs autorisés par un domaine, mais ne peuvent empêcher les utilisateurs légitimes de ce domaine, ou les comptes créés au sein de la plate-forme, d'inclure du texte malveillant dans les champs visibles. Pour comprendre comment ces couches d'authentification fonctionnent et quelles sont leurs limites, il est utile d'examiner la documentation technique fiable, comme Google sur la protection de remplacement du courrier (SPF / DKIM / DMARC) en https: / / support.google.com / a / ansher / 33786.
Enfin, si quelqu'un a suivi les instructions de l'escroquerie - a installé un logiciel à distance, des mots de passe partagés ou des données bancaires - vous devez couper la communication, déconnecter le périphérique réseau, changer les mots de passe d'un autre ordinateur sécurisé et contacter votre banque pour bloquer les opérations et les comptes touchés. Il est également recommandé de déposer une plainte auprès des autorités de protection des consommateurs; aux États-Unis, par exemple, FTC fournit des ressources et des recommandations au téléphone.
Ce cas est un rappel que les attaquants continuent à affiner leurs méthodes et que les fonctionnalités légitimes des plateformes peuvent être tordues contre eux. La meilleure défense est la prudence : vérifier par ses propres moyens l'activité du compte, ne pas se fier aveuglément à l'urgence du message et toujours utiliser les canaux officiels pour toute clarification. Bien que les fournisseurs mettent en place des contrôles supplémentaires, la combinaison du sens critique des utilisateurs et des pratiques de sécurité de base demeure l'obstacle le plus efficace contre ces escroqueries.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...