蘋果官方通知變詐騙工具！駭客鑽系統漏洞1招竊資訊 「真實郵件」難辨真偽

資安研究人員發現，一種新型釣魚攻擊正利用蘋果（Apple）官方通知機制進行詐騙。攻擊者透過Apple正規郵件系統寄出通知，使郵件看起來完全合法，甚至能順利通過垃圾郵件過濾機制，大幅提高欺騙成功率。

根據外媒「bleeping computer」報導，有使用者收到一封看似正常的Apple安全通知，內容顯示帳號資料已被更新。然而，這封「官方信件」中卻暗藏詐騙內容。信件中可能攻擊者插入一段偽造訊息，聲稱使用者透過PayPal購買了一支價值899美元的iPhone，並附上一組電話號碼，要求用戶立即聯絡取消交易。

不過在這封郵件中，攻擊者插入了一段偽造訊息，聲稱使用者透過PayPal購買了一支價值899美元的iPhone，並附上一組電話號碼，要求用戶立即聯絡取消交易。這類攻擊的核心在於製造恐慌。當使用者誤以為帳號遭盜刷時，往往會急於撥打電話「止損」，卻反而落入詐騙陷阱。

與傳統釣魚郵件不同，這次攻擊最危險之處在於：郵件本身是真的。該郵件來自 Apple 官方網域（appleid@id.apple.com），並成功通過SPF、DKIM、DMARC等驗證機制，代表郵件來源完全可信、幾乎不會被系統標記為垃圾郵件。

攻擊者沒有入侵蘋果系統，反而是「濫用其正常功能」。建立一個Apple ID、將釣魚訊息拆分填入「名字」與「姓氏」欄位、修改帳戶的運送資訊、觸發 Apple 自動寄出帳號變更通知、由於通知內容會包含這些個人資料欄位，因此釣魚訊息就會「合法」出現在蘋果寄出的郵件中

外媒也證實該漏洞確實可被利用。透過合法系統加上社交工程，讓釣魚攻擊更難辨識，且也讓我們發現，即使是來自Apple的郵件，只要出現「緊急交易」、「要求聯絡電話」等訊息，都應視為高風險訊號。這類攻擊的成功關鍵，不在技術突破，而在於：讓你相信它是真的。