Las notificaciones de cambio de cuenta de **Apple** están siendo abusadas para enviar estafas de phishing de compras falsas de iPhone dentro de correos electrónicos legítimos enviados desde los servidores de **Apple**, aumentando la legitimidad y permitiendo potencialmente que evadan los filtros de spam. Un lector compartió un correo electrónico con BleepingComputer que parecía ser una notificación de seguridad estándar de **Apple** que indicaba que la información de su cuenta había sido actualizada. Sin embargo, incrustado dentro del mensaje había un señuelo de phishing que afirmaba que se había realizado una compra de iPhone por $899 a través de **PayPal**, junto con un número de teléfono para llamar y cancelar la transacción. "Estimado Usuario, Compra de iPhone por 899 USD vía Pay-Pal para cancelar 18023530761", dice el correo electrónico de phishing de cuenta de **Apple**. "Los siguientes cambios en su Cuenta **Apple**, [email protected], se realizaron el 14 de abril de 2026 a las 7:01:40 PM GMT:" "Información de envío"  Estos correos electrónicos están diseñados para engañar a los destinatarios haciéndoles creer que sus cuentas fueron utilizadas para compras fraudulentas y asustarlos para que llamen al número de "soporte" del estafador. Al llamar al número, los estafadores suelen intentar convencer a las víctimas de que sus cuentas han sido comprometidas y pueden instruirlas a instalar software de acceso remoto o proporcionar información financiera. En campañas de phishing de devolución de llamada anteriores, este acceso remoto se ha utilizado para robar fondos de cuentas bancarias, desplegar malware o robar datos. ## Abuso de las notificaciones de cuenta de Apple Si bien el señuelo de phishing no es nuevo, la campaña ilustra cómo los actores de amenazas continúan evolucionando sus tácticas explotando las características legítimas de los sitios web para realizar ataques. El correo electrónico de phishing se envió desde la infraestructura de **Apple** utilizando la dirección *[email protected]* y pasó las verificaciones de autenticación SPF, DKIM y DMARC, lo que indica que era un correo electrónico legítimo de **Apple**. dkim=pass header.d=id.apple.com [email protected] header.b=o3ICBLWN spf=pass (spf.icloud.com: domain of [email protected] designates 17.111.110.47 as permitted sender) [email protected] Un análisis más detallado de los encabezados del correo electrónico muestra que el mensaje se originó en la infraestructura de correo de **Apple** y no fue falsificado. Servidor inicial: rn2-txn-msbadger01107.apple.com Relevo de salida: outbound.mr.icloud.com Dirección IP: 17.111.110.47 (Propiedad de Apple) Para llevar a cabo el ataque, el actor de amenazas crea un **Apple ID** e inserta el mensaje de phishing en los campos de información personal de la cuenta, dividiendo el texto entre los campos de nombre y apellido. BleepingComputer pudo replicar este comportamiento creando una cuenta de prueba de **Apple** y agregando un lenguaje similar de phishing de devolución de llamada a los campos de nombre y apellido. Esto se debe a que cada campo no puede contener el mensaje de estafa completo.  Para activar la notificación de cambio de perfil de cuenta de **Apple**, el atacante modifica la información de envío de la cuenta, lo que hace que **Apple** envíe una alerta de seguridad notificando al usuario sobre el cambio. Dado que **Apple** incluye los campos de nombre y apellido proporcionados por el usuario dentro de estas notificaciones, el mensaje de phishing se incrusta directamente en el correo electrónico y se entrega como parte de una alerta legítima. Si bien el objetivo de los ataques recibió el mensaje, el correo electrónico se envió inicialmente a una dirección de correo electrónico de iCloud asociada con la cuenta del atacante. Esta dirección de correo electrónico también se incluye en el correo electrónico de notificación, lo que hace que el correo electrónico parezca más preocupante y potencialmente lleve a alguien a creer que la cuenta fue hackeada. El análisis de encabezados muestra que el destinatario original difiere de la dirección de entrega final, lo que indica que el atacante probablemente está utilizando una lista de correo para distribuir los correos electrónicos a múltiples objetivos. Esta campaña es similar a una campaña de phishing anterior que abusó de las invitaciones del **Calendario de iCloud** para enviar notificaciones de compra falsas a través de los servidores de **Apple**. Como regla general, los usuarios deben tratar las alertas de cuenta inesperadas que reclaman compras o les instan a llamar a números de soporte con precaución, especialmente si no iniciaron ningún cambio reciente o si contienen direcciones de correo electrónico inusuales. BleepingComputer contactó a **Apple** el viernes sobre esta campaña, pero no recibió respuesta, y el abuso aún es posible.