AI重點
文章重點整理:
- 重點一:駭客利用蘋果官方郵件進行詐騙攻擊,讓人難以辨識。
- 重點二:該郵件成功通過多重驗證機制,顯得極為真實。
- 重點三:攻擊者利用社交工程製造恐慌,誘使用戶撥打電話。
資安 研究人員發現,一種新型釣魚攻擊正利用蘋果 (Apple)官方通知機制進行詐騙 。攻擊者透過Apple正規郵件系統寄出通知,使郵件看起來完全合法,甚至能順利通過垃圾郵件過濾機制,大幅提高欺騙成功率。
根據外媒「bleeping computer」報導,有使用者收到一封看似正常的Apple安全通知,內容顯示帳號資料已被更新。然而,這封「官方信件」中卻暗藏詐騙內容。信件中可能攻擊者插入一段偽造訊息,聲稱使用者透過PayPal購買了一支價值899美元的iPhone,並附上一組電話號碼,要求用戶立即聯絡取消交易。
不過在這封郵件中,攻擊者插入了一段偽造訊息,聲稱使用者透過PayPal購買了一支價值899美元的iPhone,並附上一組電話號碼,要求用戶立即聯絡取消交易。這類攻擊的核心在於製造恐慌。當使用者誤以為帳號遭盜刷時,往往會急於撥打電話「止損」,卻反而落入詐騙陷阱。
與傳統釣魚郵件 不同,這次攻擊最危險之處在於:郵件本身是真的。該郵件來自 Apple 官方網域([email protected]),並成功通過SPF、DKIM、DMARC等驗證機制,代表郵件來源完全可信、幾乎不會被系統標記為垃圾郵件。
攻擊者沒有入侵蘋果系統,反而是「濫用其正常功能」。建立一個Apple ID 、將釣魚訊息拆分填入「名字」與「姓氏」欄位、修改帳戶的運送資訊、觸發 Apple 自動寄出帳號變更通知、由於通知內容會包含這些個人資料欄位,因此釣魚訊息就會「合法」出現在蘋果寄出的郵件中
外媒也證實該漏洞確實可被利用。透過合法系統加上社交工程,讓釣魚攻擊更難辨識,且也讓我們發現,即使是來自Apple的郵件,只要出現「緊急交易」、「要求聯絡電話」等訊息,都應視為高風險訊號。這類攻擊的成功關鍵,不在技術突破,而在於:讓你相信它是真的。
討論區