Des pirates détournent les notifications officielles d'Apple pour diffuser de fausses factures
Une campagne de phishing exploite les alertes de sécurité d’Apple pour envoyer des e-mails frauduleux parfaitement authentifiés. En s’appuyant sur l’infrastructure de la marque, les attaquants contournent les filtres anti-spam et poussent les victimes à entrer en contact direct avec eux.
Une campagne de phishing exploite un mécanisme légitime d’Apple pour envoyer des messages frauduleux depuis les propres serveurs de la marque, rapporte BleepingComputer. Contrairement aux campagnes classiques reposant sur l’usurpation d’identité, cette méthode détourne des notifications authentiques générées par Apple, qui passent les contrôles d’authentification (SPF, DKIM, DMARC) et échappent aux filtres anti-spam traditionnels.
Le stratagème repose sur les notifications envoyées automatiquement lors de la modification des informations d’un compte. Pour mener l’attaque, les fraudeurs créent un compte Apple et renseignent les champs «prénom» et «nom» avec un message frauduleux. Ces informations étant reprises dans les notifications de sécurité envoyées par Apple, le contenu malveillant est directement intégré à l’e-mail. Le message est expédié depuis l’adresse officielle appleid@id.apple.com, ce qui renforce sa crédibilité.
Ces notifications invitent la victime à appeler un numéro pour «annuler» un faux achat d’iPhone de 899 dollars via PayPal. Une fois en ligne, un faux conseiller tente de manipuler l’utilisateur afin d’obtenir des informations sensibles ou d’accéder à son appareil. Ce type d’attaque, connu sous le nom de callback phishing, peut servir à dérober des fonds, installer un logiciel malveillant ou prendre le contrôle à distance de la machine.
Les attaquants utiliseraient par ailleurs des listes de diffusion pour amplifier la campagne: l’analyse des en-têtes montre que le destinataire final diffère de l’adresse iCloud initialement visée.
La campagne rappelle un précédent épisode, où des invitations iCloud Calendar avaient été utilisées de manière similaire pour faire transiter de fausses notifications d’achat via les serveurs d’Apple. BleepingComputer indique avoir contacté Apple à ce sujet, sans réponse à ce jour.
L’actualité IT en Suisse et à l’international, avec un focus sur la Suisse romande, directement dans votre boîte mail > Inscrivez-vous à la newsletter d’ICTjournal, envoyée du lundi au vendredi!
