Alerte de changement de compte Apple détournée pour envoyer des emails de phishing

Alerte de changement de compte Apple détournée pour envoyer des emails de phishing

Des notifications de changement de compte Apple sont détournées pour propager des escroqueries de phishing par le biais d’emails authentiques provenant des serveurs d’Apple. Cette méthode augmente la crédibilité des messages et permet potentiellement de contourner les filtres anti-spam.

Un lecteur a partagé un email avec BleepingComputer, semblant être une notification de sécurité standard d’Apple, indiquant que des informations de compte avaient été mises à jour.

Cependant, le contenu du message contenait une allégation de fraude : un achat d’iPhone à 899 dollars effectué via PayPal, et un numéro de téléphone pour annuler la transaction.

« Cher utilisateur, achat d’un iPhone à 899 USD via PayPal. Pour annuler, composez le 18023530761. », lit-on dans l’email de phishing.

Les messages sont conçus pour tromper les destinataires en leur faisant croire que leurs comptes ont été utilisés pour des achats frauduleux, les incitant à appeler le prétendu support du fraudeur.

En appelant ce numéro, les escrocs tentent souvent de convaincre les victimes que leurs comptes ont été compromis et peuvent leur demander d’installer un logiciel d’accès à distance ou de fournir des informations financières.

Lors de campagnes de phishing similaires, cet accès à distance a permis de dérober des fonds des comptes bancaires, d’installer des malwares ou de voler des données.

Exploitation des notifications de compte Apple

Bien que l’escroquerie ne soit pas inédite, cette campagne démontre comment les acteurs malveillants adaptent leurs techniques en utilisant des fonctionnalités légitimes de sites web pour mener leurs attaques.

L’email de phishing a été envoyé depuis l’infrastructure d’Apple, utilisant l’adresse appleid@id.apple.com, et a réussi les vérifications d’authentification SPF, DKIM, et DMARC, prouvant qu’il s’agissait d’un message légitime et non falsifié.

Une analyse plus approfondie des en-têtes de l’email montre que le message provient bien de l’infrastructure de messagerie d’Apple.

Apple ID: rn2-txn-msbadger01107.apple.com
Relay sortant: outbound.mr.icloud.com
Adresse IP: 17.111.110.47 (propriété d’Apple)

Pour réaliser l’escroquerie, l’acteur malveillant crée un Apple ID et insère le message de phishing dans les champs d’informations personnelles de ce compte, en fractionnant le texte afin de contourner les limitations de longueur.

BleepingComputer a reproduit ce comportement en créant un Apple ID test et en ajoutant un texte similaire aux champs de prénom et de nom de famille. Chaque champ ne peut en effet contenir l’intégralité du message d’escroquerie.

Pour déclencher la notification de changement de profil de compte Apple, l’attaquant modifie les informations d’expédition, entraînant l’envoi d’une alerte de sécurité à la victime.

Étant donné qu’Apple inclut les noms fournis par l’utilisateur au sein de ces notifications, le message d’escroquerie est intégré directement dans l’email et livré avec l’alerte légitime.

Bien que le destinataire ciblé ait reçu le message, celui-ci a d’abord été envoyé à une adresse iCloud associée au compte de l’attaquant, augmentant l’inquiétude du destinataire en lui laissant penser que son compte avait été piraté.

Une analyse des en-têtes révèle que le destinataire d’origine diffère de l’adresse finale, suggérant que l’attaquant utilise une liste de diffusion pour expédier ces messages à plusieurs cibles.

Cette campagne ressemble à une précédente qui exploitait des invitations de calendrier iCloud pour envoyer de fausses notifications d’achat via les serveurs d’Apple.

Il est conseillé aux utilisateurs de traiter avec prudence les alertes de compte inattendues évoquant des achats ou les incitant à appeler des numéros de support, surtout s’ils n’ont pas initié de changements récents ou si les adresses email semblent suspectes.

BleepingComputer a contacté Apple concernant cette campagne, sans obtenir de réponse, et l’abus demeure possible.