Notificações de mudança na conta da Apple estão sendo abusadas para enviar golpes de phishing com falsa compra de iPhone dentro de e-mails legítimos enviados pelos servidores da empresa.
Isso aumenta a credibilidade da mensagem e pode ajudar a burlar filtros de spam.
Um leitor compartilhou um e-mail que parecia ser uma notificação padrão de segurança da Apple, informando que os dados da conta haviam sido atualizados.
No entanto, dentro da mensagem havia uma isca de phishing alegando que uma compra de um iPhone de US$ 899 havia sido feita via PayPal, junto com um número de telefone para cancelar a transação.
“Dear User 899 USD iPhone Purchase Via Pay-Pal To Cancel 18023530761”, dizia o e-mail de phishing da conta Apple.
“The following changes to your Apple Account, [email protected]
, were made on April 14, 2026 at 7:01:40 PM GMT:”
“Shipping Information”
Esses e-mails são criados para fazer o destinatário acreditar que a conta foi usada em uma compra fraudulenta e, com isso, levá-lo a ligar para o suposto número de “suporte” do golpista.
Ao ligar, os criminosos normalmente tentam convencer a vítima de que a conta foi comprometida e podem orientar a instalação de software de acesso remoto ou solicitar dados financeiros.
Em campanhas anteriores de phishing por retorno de ligação, esse acesso remoto já foi usado para roubar dinheiro de contas bancárias, distribuir malware e furtar dados.
Embora a isca de phishing não seja nova, a campanha mostra como agentes de ameaça continuam evoluindo suas táticas ao explorar recursos legítimos de sites para conduzir ataques.
O e-mail foi enviado pela infraestrutura da Apple, usando o endereço [email protected]
, e passou pelas verificações SPF, DKIM e DMARC, o que indica que se tratava de uma mensagem legítima da empresa.
Uma análise mais detalhada dos cabeçalhos confirmou que a mensagem se originou na infraestrutura de e-mail da Apple e não foi falsificada.
Para executar o ataque, o agente cria um Apple ID e insere a mensagem de phishing nos campos de dados pessoais da conta, dividindo o texto entre os campos de nome e sobrenome.
Foi possível reproduzir esse comportamento criando uma conta de teste e adicionando uma linguagem semelhante de phishing por retorno de ligação nos campos de nome e sobrenome.
Isso ocorre porque cada campo não comporta toda a mensagem do golpe.
Para disparar a notificação de alteração no perfil da conta, o atacante modifica as informações de envio, o que faz a Apple enviar um alerta de segurança informando a mudança.
Como a empresa inclui os campos de nome e sobrenome informados pelo usuário nessas notificações, a mensagem de phishing é incorporada diretamente ao e-mail e entregue como parte de um alerta legítimo.
Embora o alvo final receba a mensagem, o e-mail foi inicialmente enviado para um endereço do iCloud associado à conta do atacante.
Esse endereço também aparece na notificação, o que torna a mensagem ainda mais alarmante e pode levar a vítima a acreditar que a conta foi invadida.
A análise dos cabeçalhos mostra que o destinatário original é diferente do endereço final de entrega, indicando que o atacante provavelmente está usando uma lista de e-mails para distribuir as mensagens a vários alvos.
Essa campanha é semelhante a uma ação anterior de phishing que abusou de convites do iCloud Calendar para enviar falsas notificações de compra pelos servidores da Apple.
Como regra geral, usuários devem tratar com cautela alertas inesperados de conta que informem compras ou incentivem a ligar para números de suporte, especialmente se não houve nenhuma alteração recente iniciada pelo próprio usuário ou se houver endereços de e-mail incomuns na mensagem.
Até o momento, o abuso dessa funcionalidade ainda continua possível.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...