Les notifications de changement de compte **Apple** sont détournées pour envoyer de fausses arnaques de phishing de purchase d'iPhone dans des e-mails légitimes envoyés depuis les serveurs d'**Apple**, augmentant leur légitimité et leur permettant potentiellement de contourner les filtres anti-spam. Un lecteur a partagé un e-mail avec BleepingComputer qui semblait être une notification de sécurité **Apple** standard indiquant que les informations de son compte avaient été mises à jour. Cependant, intégré dans le message se trouvait un leurre de phishing affirmant qu'un achat d'iPhone de 899 $ avait été effectué via **PayPal**, accompagné d'un numéro de téléphone à appeler pour annuler la transaction. "Cher utilisateur, achat d'iPhone de 899 USD via Pay-Pal pour annuler 18023530761", indique l'e-mail de phishing de compte **Apple**. "Les changements suivants sur votre compte **Apple**, [email protected], ont été effectués le 14 avril 2026 à 19h01:40 GMT :" "Informations d'expédition"  Ces e-mails sont conçus pour tromper les destinataires en leur faisant croire que leurs comptes ont été utilisés pour des achats frauduleux et les effrayer pour qu'ils appellent le numéro de "support" de l'escroc. Lors de l'appel, les escrocs tentent généralement de convaincre les victimes que leurs comptes ont été compromis et peuvent leur demander d'installer un logiciel d'accès à distance ou de fournir des informations financières. Dans les campagnes de phishing par rappel précédentes, cet accès à distance a été utilisé pour voler des fonds sur des comptes bancaires, déployer des malwares ou voler des données. ## Exploitation des notifications de compte Apple Bien que le leurre de phishing ne soit pas nouveau, la campagne illustre comment les acteurs de la menace continuent d'évoluer leurs tactiques en exploitant les fonctionnalités légitimes des sites Web pour mener des attaques. L'e-mail de phishing a été envoyé depuis l'infrastructure d'**Apple** en utilisant l'adresse *[email protected]* et a passé les contrôles d'authentification SPF, DKIM et DMARC, indiquant qu'il s'agissait d'un e-mail légitime d'**Apple**. dkim=pass header.d=id.apple.com [email protected] header.b=o3ICBLWN spf=pass (spf.icloud.com: domain of [email protected] designates 17.111.110.47 as permitted sender) [email protected] Une analyse plus approfondie des en-têtes d'e-mail montre que le message provenait de l'infrastructure de messagerie d'**Apple** et n'a pas été usurpé. Serveur initial : rn2-txn-msbadger01107.apple.com Relais sortant : outbound.mr.icloud.com Adresse IP : 17.111.110.47 (propriété d'Apple) Pour mener l'attaque, l'acteur de la menace crée un **Apple ID** et insère le message de phishing dans les champs d'informations personnelles du compte, divisant le texte entre les champs prénom et nom. BleepingComputer a pu reproduire ce comportement en créant un compte **Apple** de test et en ajoutant un langage de phishing par rappel similaire aux champs prénom et nom. En effet, chaque champ ne peut pas contenir l'intégralité du message de l'arnaque.  Pour déclencher la notification de changement de profil de compte **Apple**, l'attaquant modifie les informations d'expédition du compte, ce qui amène **Apple** à envoyer une alerte de sécurité informant l'utilisateur du changement. Étant donné qu'**Apple** inclut les champs prénom et nom fournis par l'utilisateur dans ces notifications, le message de phishing est intégré directement dans l'e-mail et livré dans le cadre d'une alerte légitime. Bien que la cible des attaques ait reçu le message, l'e-mail a été initialement envoyé à une adresse e-mail iCloud associée au compte de l'attaquant. Cette adresse e-mail est également incluse dans l'e-mail de notification, rendant l'e-mail plus préoccupant et pouvant amener quelqu'un à croire que le compte a été piraté. L'analyse des en-têtes montre que le destinataire d'origine diffère de l'adresse de livraison finale, indiquant que l'attaquant utilise probablement une liste de diffusion pour distribuer les e-mails à plusieurs cibles. Cette campagne est similaire à une campagne de phishing précédente qui a exploité les invitations **iCloud Calendar** pour envoyer de fausses notifications d'achat via les serveurs d'**Apple**. En règle générale, les utilisateurs doivent traiter avec prudence les alertes de compte inattendues affirmant des achats ou les incitant à appeler des numéros de support, surtout s'ils n'ont pas initié de changements récents ou s'ils contiennent des adresses e-mail inhabituelles. BleepingComputer a contacté **Apple** vendredi au sujet de cette campagne, mais n'a pas reçu de réponse, et l'abus est toujours possible.