Recentemente, foi detectada uma campanha de phishing que aproveita as notificações legítimas de mudanças em contas da Apple para inserir um senhão: mensagens que alertam de uma compra fraudulenta de um iPhone e incentivam a vítima a chamar um número de “soporte”. O que distingue este engano é que os e-mails são enviados da própria infraestrutura da Apple e superam as verificações habituais de autenticidade, o que aumenta dramaticamente a sua aparência de legitimidade.
Segundo a pesquisa publicada por BleepingComputer, os atacantes criam um ID Apple e usam os campos visíveis do perfil - o nome e o sobrenome - para introduzir o texto da fraude. Depois modificam a informação de envio do perfil, o que desencadeia a notificação padrão da Apple sobre mudanças na conta. Como esse alerta incorpora os dados do primeiro e segundo nome que fornece o atacante, a mensagem malicioso fica incorporada dentro de um e-mail real enviado de servidores da Apple.
Do ponto de vista técnico, isto é particularmente preocupante: o correio vem de endereços associados à Apple e passa as verificações de autenticidade de e-mail como SPF, DKIM e DMARC. Na prática, isso significa que muitos filtros antispam e sistemas automáticos de detecção não marcam a mensagem como suspeito, porque os cabeçalhos mostram que a entrega foi realizada por infraestrutura autorizada. É uma manobra que explora uma característica legítima do serviço para filtrar ameaças sob a aparência de segurança.
O objetivo final da fraude é induzir o receptor a chamar o número incluído no correio. Uma vez na chamada, os atiradores atuam como “soporte” e buscam que a vítima instale ferramentas de acesso remoto, entregue credenciais ou dados financeiros, ou autorize transferências. Estes esquemas de “callback phishing” (vishing com chamada de retorno) não são novos, mas sua combinação com mensagens legítimas enviadas por fornecedores de confiança aumenta o risco e a efetividade. Em campanhas anteriores, o acesso remoto obtido desta forma foi usado para esvaziar contas bancárias, implantar malware ou roubar informações sensíveis.
Há antecedentes que demonstram que os atacantes não se conformam com uma única via: no passado, os convites do iCloud Calendar foram explorados para distribuir notificações falsas e agora se observa o mesmo padrão aplicado a alertas de perfil. Você pode encontrar mais contexto sobre como se abusou funções legítimas de plataformas para enviar spam e fraudes em relatórios especializados como os de Krebs on Security e o próprio acompanhamento da BleepingComputer.
O que deve fazer um usuário que receba um e-mail assim? O primeiro é manter a calma e desconfiar de qualquer mensagem que peça ações urgentes por telefone ou inclua números não solicitados. Não chame o número que figura no e- mail nem carregue em ligações dentro da mensagem. Em vez disso, você precisa acessar sua conta da Apple a partir de um navegador escrevendo o endereço oficial (ou através da app Configurações no seu dispositivo) e rever a atividade e a informação de envio a partir daí. Mudar a senha, rever os dispositivos vinculados e garantir que a verificação em duas etapas ou a autenticação de dois fatores estejam ativas são medidas essenciais para reduzir os danos.
Além disso, é importante reportar o incidente à Apple através de seus canais oficiais e manter o correio original por se necessário apresentá-lo como evidência. A Apple oferece recomendações sobre como identificar e-mails fraudulentos no seu centro de suporte; seguir essas diretrizes e usar apenas rotas de contato oficiais evita cair em armadilhas. Você pode consultar as orientações da Apple em sua página de ajuda sobre e-mails suspeitos em https://support.apple.com/en-us/HT204759.
Convém também recordar por que razão os controlos SPF, DKIM e DMARC, embora muito úteis, não são uma garantia absoluta. Estas tecnologias ajudam a verificar que um e-mail prove de servidores autorizados por um domínio, mas não podem impedir que usuários legítimos desse domínio, ou contas criadas dentro da plataforma, incluam texto malicioso em campos visíveis. Para entender como funcionam estas camadas de autenticação e quais são seus limites, é útil revisar documentação técnica confiável, como a do Google sobre proteção contra suplantação de e-mail (SPF/DKIM/DMARC) em https://support.google.com/a/answer/33786.
Por fim, se alguém tiver seguido as instruções do atirador - o software remoto, partilhado senhas ou dados bancários - deve cortar a comunicação, desligar o dispositivo da rede, mudar as senhas de outro equipamento seguro e contactar o seu banco para bloquear operações e contas afetadas. Também é aconselhável apresentar queixa às autoridades de consumo; nos Estados Unidos, por exemplo, a FTC oferece recursos e recomendações sobre fraudes telefónicas.
Este caso é um lembrete de que os atacantes continuam a refinar seus métodos e que as funcionalidades legítimas das plataformas podem ser retorcidas contra eles. A melhor defesa é a precaução: verificar por meios próprios a atividade da conta, não confiar cegamente na urgência da mensagem e usar sempre os canais oficiais para qualquer esclarecimento. Enquanto os fornecedores implementam controles adicionais, a combinação de sentido crítico do usuário e práticas básicas de segurança continua sendo a barreira mais eficaz contra essas fraudes.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...