近日,資安研究人員發現一種防不勝防的新型 Apple 釣魚攻擊。駭客竟然利用 Apple 官方的自動通知系統發送詐騙郵件!由於寄件者地址顯示為完全合法的「appleid@id.apple.com」,且能順利通過所有電郵驗證機制,這類郵件幾乎不會被標記為垃圾郵件,大幅提高了受害者的上當機率。本文將為你拆解這款「借刀殺人」的詐騙手法,並教你如何識破陷阱。
郵件來源真實卻暗藏殺機:如何製造「假扣款」恐慌?
根據外媒報導,有使用者收到一封關於「帳號資料更新」的 Apple 官方安全通知,但信件內容中卻被植入了偽造訊息。例如,信中會聲稱用戶「透過 PayPal 購買了一部價值 899 美元的 iPhone」,並隨附一組虛假的客服電話,要求用戶若要取消交易必須立即致電聯絡。這類釣魚攻擊的核心在於製造「緊急感」與「恐慌」,當用戶因擔心帳號遭盜刷而撥打電話時,便會一步步落入詐騙陷阱。
駭客如何濫用合法功能進行「借刀殺人」?
這項攻擊最令人防不勝防之處,在於郵件本身是真的 Apple 官方網域「appleid@id.apple.com」,並能成功通過 SPF、DKIM 及 DMARC 等驗證機制,因此不會被系統攔截或標記為垃圾郵件。
駭客的操作流程解析
駭客並未入侵 Apple 系統,而是鑽營系統功能的運作邏輯。駭客的操作流程如下:
- 建立新帳號:首先建立一組全新的 Apple ID。
- 填寫詐騙資訊:將釣魚訊息拆分,填入帳號設定中的「名字」、「姓氏」或地址欄位中。
- 觸發變更通知:故意修改帳戶的運送資訊,藉此觸發 Apple 系統自動寄出帳號變更通知郵件。
- 合法寄出釣魚內容:由於 Apple 的自動通知信件會帶入用戶填寫的個人資料,因此駭客事先埋下的詐騙內容,就會隨同真實的官方郵件一併寄到受害者信箱。
防範關鍵:冷靜判斷與官方管道查核
雖然郵件來源看起來無懈可擊,但民眾仍可透過以下幾點防詐重點預防:
- 警惕陌生電話:Apple 官方通常不會在通知郵件中要求用戶直接撥打陌生電話。
- 辨識情緒誘導:看到「緊急付款」、「立即取消交易」等字眼時應保持冷靜,避免在慌張下做出錯誤判斷。
- 查核官方管道:若對帳號活動有疑問,切勿直接點擊郵件連結或撥打信中附上的電話。應自行手動開啟官方 App、登入 Apple ID 管理頁面或前往官網進行確認。
現在的釣魚攻擊已不再侷限於偽造網址或假信箱,而是轉向濫用「真實官方系統」。當郵件的驗證機制與版型均為真實時,用戶唯有依靠高度的判斷力與正確的查核習慣,才能避免成為詐騙受害者。
常見問題 FAQ
Q1:為什麼防毒軟體或電郵過濾系統攔截不到這類郵件? 因為郵件確實是由 Apple 官方系統發出,所有技術指標(如寄件者地址、驗證機制)均顯示為合法,系統無法辨識其中的個人資料欄位是否包含詐騙字句。
Q2:如果我已經撥打了信中的客服電話該怎麼辦? 請立即掛斷電話,切勿提供任何信用卡號碼、驗證碼或個人密碼。建議隨後自行透過 Apple 官方網站聯絡客服核實帳戶安全。
🎯 重點速睇:
- 官方系統遭濫用:駭客利用 Apple 正常功能發送「真郵件」,成功規避垃圾郵件過濾機制。
- 內容部分偽造:郵件來源屬實,但內容中的個人資料欄位被駭客填入釣魚訊息與假客服電話。
- 製造恐慌引誘:透過虛假的扣款資訊誘騙用戶撥打詐騙電話,藉此竊取敏感資訊。
- 手動查核最保險:收到可疑通知應自行登入官方 App 或官網確認,切勿點擊信內連結或撥打隨附號碼。
即刻【按此】,用 App 睇更多產品開箱影片
【熱門報道】
Source:Bleeping Computer
【相關話題】中詐騙 App 手機突然「遙距黑屏」?騙徒趁機轉走存款!警方靠 1 招救回 20 萬
近年基本上每日都會發生網上詐騙案件,例如最近內地合肥警方破獲的電信詐騙,是事主王女士誤信自稱短片平台客服的致電內容,差點被騙去 20 萬人民幣(約 HK$229,801)積蓄,最終警方靠一物來改寫事件結局。
Source:ezone.hk
【相關話題】大律師差啲中伏?水務署「假水費單」短訊詐騙再現!5大伏位辨別釣魚訊息
香港最近幾年經常會有假冒政府部門的釣魚訊息出現,其中一個最常出現的部門則是水務署。而這類訊息近日又再度出沒,甚至更有大律師險些受騙。香港網絡安全事故協調中心(HKCERT)發出緊急通知,指騙徒正大規模透過短訊及電郵,以「帳戶更新」或「欠款」為名誘騙市民點擊虛假連結。當局呼籲市民,若需查閱帳單或繳費,必須經由官方渠道操作,切勿在可疑網站輸入個人及信用卡資料。
Source:ezone.hk