Notificações de alteração de conta da **Apple** estão sendo abusadas para enviar falsos golpes de phishing de compra de iPhone em e-mails legítimos enviados de servidores da **Apple**, aumentando a legitimidade e potencialmente permitindo que contornem filtros de spam. Um leitor compartilhou um e-mail com o BleepingComputer que parecia ser uma notificação de segurança padrão da **Apple**, informando que as informações de sua conta haviam sido atualizadas. No entanto, embutido na mensagem havia um chamariz de phishing alegando que uma compra de iPhone de US$ 899 havia sido feita via **PayPal**, juntamente com um número de telefone para ligar e cancelar a transação. "Prezado Usuário Compra de iPhone de US$ 899 Via Pay-Pal Para Cancelar 18023530761", diz o e-mail de phishing da conta **Apple**. "As seguintes alterações em sua Conta **Apple**, [email protected], foram feitas em 14 de abril de 2026 às 19:01:40 GMT:" "Informações de Envio"  Esses e-mails são projetados para enganar os destinatários, fazendo-os pensar que suas contas foram usadas para compras fraudulentas e assustando-os para ligar para o número de "suporte" do golpista. Ao ligar para o número, os golpistas geralmente tentam convencer as vítimas de que suas contas foram comprometidas e podem instruí-las a instalar software de acesso remoto ou fornecer informações financeiras. Em campanhas anteriores de phishing de callback, esse acesso remoto foi usado para roubar fundos de contas bancárias, implantar malware ou roubar dados. ## Abusando de notificações de conta Apple Embora o chamariz de phishing não seja novo, a campanha ilustra como os atores de ameaças continuam a evoluir suas táticas explorando recursos legítimos de sites para realizar ataques. O e-mail de phishing foi enviado da infraestrutura da **Apple** usando o endereço *[email protected]* e passou pelas verificações de autenticação SPF, DKIM e DMARC, indicando que era um e-mail legítimo da **Apple**. dkim=pass header.d=id.apple.com [email protected] header.b=o3ICBLWN spf=pass (spf.icloud.com: domain of [email protected] designates 17.111.110.47 as permitted sender) [email protected] Análise adicional dos cabeçalhos do e-mail mostra que a mensagem se originou da infraestrutura de e-mail da **Apple** e não foi falsificada. Servidor inicial: rn2-txn-msbadger01107.apple.com Relay de saída: outbound.mr.icloud.com Endereço IP: 17.111.110.47 (Propriedade da Apple) Para realizar o ataque, o ator de ameaça cria um **Apple ID** e insere a mensagem de phishing nos campos de informações pessoais da conta, dividindo o texto entre os campos de nome e sobrenome. O BleepingComputer conseguiu replicar esse comportamento criando uma conta de teste da **Apple** e adicionando linguagem semelhante de phishing de callback aos campos de nome e sobrenome. Isso ocorre porque cada campo não pode conter a mensagem de golpe inteira.  Para acionar a notificação de alteração de perfil da conta **Apple**, o atacante modifica as informações de envio da conta, o que faz com que a **Apple** envie um alerta de segurança notificando o usuário sobre a mudança. Como a **Apple** inclui os campos de nome e sobrenome fornecidos pelo usuário nessas notificações, a mensagem de phishing é incorporada diretamente no e-mail e entregue como parte de um alerta legítimo. Embora o alvo dos ataques tenha recebido a mensagem, o e-mail foi inicialmente enviado para um endereço de e-mail do iCloud associado à conta do atacante. Este endereço de e-mail também está incluído no e-mail de notificação, tornando o e-mail mais preocupante e potencialmente levando alguém a acreditar que a conta foi hackeada. A análise de cabeçalho mostra que o destinatário original difere do endereço de entrega final, indicando que o atacante provavelmente está usando uma lista de e-mails para distribuir os e-mails para vários alvos. Esta campanha é semelhante a uma campanha de phishing anterior que abusou de convites do **iCloud Calendar** para enviar notificações de compra falsas através dos servidores da **Apple**. Como regra geral, os usuários devem tratar alertas de conta inesperados que alegam compras ou os instam a ligar para números de suporte com cautela, especialmente se não iniciaram nenhuma alteração recente ou se contêm endereços de e-mail incomuns. O BleepingComputer contatou a **Apple** na sexta-feira sobre esta campanha, mas não recebeu resposta, e o abuso ainda é possível.