**Apple**-Benachrichtigungen über Kontenänderungen werden missbraucht, um gefälschte Phishing-Betrügereien bezüglich iPhone-Käufen in legitimen E-Mails zu versenden, die von **Apple**-Servern stammen. Dies erhöht die Legitimität und ermöglicht es ihnen potenziell, Spamfilter zu umgehen. Ein Leser teilte BleepingComputer eine E-Mail mit, die wie eine Standard-**Apple**-Sicherheitsbenachrichtigung aussah und besagte, dass seine Kontoinformationen aktualisiert worden seien. Innerhalb der Nachricht befand sich jedoch ein Phishing-Köder, der behauptete, ein iPhone im Wert von 899 US-Dollar sei über **PayPal** gekauft worden, zusammen mit einer Telefonnummer, unter der man die Transaktion stornieren könne. "Sehr geehrter Benutzer, 899 USD iPhone-Kauf über Pay-Pal zur Stornierung 18023530761", heißt es in der **Apple**-Konto-Phishing-E-Mail. "Die folgenden Änderungen an Ihrem **Apple**-Konto, [email protected], wurden am 14. April 2026 um 19:01:40 Uhr GMT vorgenommen:" "Versandinformationen"  Diese E-Mails sollen die Empfänger dazu verleiten zu glauben, dass ihre Konten für betrügerische Käufe verwendet wurden, und sie dazu bringen, die "Support"-Nummer des Betrügers anzurufen. Beim Anrufen der Nummer versuchen Betrüger typischerweise, die Opfer davon zu überzeugen, dass ihre Konten kompromittiert wurden, und weisen sie möglicherweise an, Fernzugriffssoftware zu installieren oder Finanzinformationen preiszugeben. Bei früheren Callback-Phishing-Kampagnen wurde dieser Fernzugriff genutzt, um Geld von Bankkonten zu stehlen, Malware einzuschleusen oder Daten zu entwenden. ## Missbrauch von Apple-Konto-Benachrichtigungen Obwohl der Phishing-Köder nicht neu ist, zeigt die Kampagne, wie Bedrohungsakteure ihre Taktiken weiterentwickeln, indem sie legitime Website-Funktionen für Angriffe ausnutzen. Die Phishing-E-Mail wurde von **Apples** Infrastruktur über die Adresse *[email protected]* gesendet und bestand die SPF-, DKIM- und DMARC-Authentifizierungsprüfungen, was darauf hindeutet, dass es sich um eine legitime E-Mail von **Apple** handelte. dkim=pass header.d=id.apple.com [email protected] header.b=o3ICBLWN spf=pass (spf.icloud.com: domain of [email protected] designates 17.111.110.47 as permitted sender) [email protected] Weitere Analysen der E-Mail-Header zeigen, dass die Nachricht von der **Apple**-Mail-Infrastruktur stammte und nicht gefälscht war. Erster Server: rn2-txn-msbadger01107.apple.com Ausgehender Relay: outbound.mr.icloud.com IP-Adresse: 17.111.110.47 (Apple-eigen) Um den Angriff durchzuführen, erstellt der Bedrohungsakteur eine **Apple ID** und fügt die Phishing-Nachricht in die Felder für persönliche Informationen des Kontos ein, wobei der Text auf die Felder Vor- und Nachname aufgeteilt wird. BleepingComputer konnte dieses Verhalten nachbilden, indem es ein Test-**Apple**-Konto erstellte und ähnliche Callback-Phishing-Texte zu den Feldern Vor- und Nachname hinzufügte. Dies liegt daran, dass jedes Feld nicht die gesamte Betrugsnachricht enthalten kann.  Um die Benachrichtigung über die Änderung des **Apple**-Kontoprofils auszulösen, modifiziert der Angreifer die Versandinformationen des Kontos, was dazu führt, dass **Apple** eine Sicherheitswarnung sendet, die den Benutzer über die Änderung informiert. Da **Apple** die vom Benutzer bereitgestellten Felder für Vor- und Nachname in diese Benachrichtigungen aufnimmt, wird die Phishing-Nachricht direkt in die E-Mail eingebettet und als Teil einer legitimen Warnung zugestellt. Obwohl der Zielperson der Angriffe die Nachricht zugestellt wurde, wurde die E-Mail ursprünglich an eine iCloud-E-Mail-Adresse gesendet, die mit dem Konto des Angreifers verknüpft war. Diese E-Mail-Adresse ist auch in der Benachrichtigungs-E-Mail enthalten, was die E-Mail besorgniserregender erscheinen lässt und jemanden potenziell dazu verleiten könnte zu glauben, das Konto sei gehackt worden. Die Header-Analyse zeigt, dass der ursprüngliche Empfänger von der endgültigen Lieferadresse abweicht, was darauf hindeutet, dass der Angreifer wahrscheinlich eine Mailingliste verwendet, um die E-Mails an mehrere Ziele zu verteilen. Diese Kampagne ähnelt einer früheren Phishing-Kampagne, die **iCloud Kalender**-Einladungen missbrauchte, um gefälschte Kaufbenachrichtigungen über **Apple**-Server zu versenden. Als allgemeine Regel gilt, dass Benutzer unerwartete Kontoalarme, die Käufe behaupten oder sie auffordern, Support-Nummern anzurufen, mit Vorsicht behandeln sollten, insbesondere wenn sie keine kürzlichen Änderungen vorgenommen haben oder wenn sie ungewöhnliche E-Mail-Adressen enthalten. BleepingComputer kontaktierte **Apple** am Freitag bezüglich dieser Kampagne, erhielt jedoch keine Antwort, und der Missbrauch ist weiterhin möglich.