Die untersuchte E-Mail wurde von der Adresse appleid@id.apple.com aus Apples Infrastruktur verschickt und bestand die Authentifizierungsprüfungen nach SPF, DKIM und DMARC. Das deutet darauf hin, dass es sich um eine echte Apple-Nachricht handelte. Eine weitergehende Analyse der E-Mail-Header bestätigte laut BleepingComputer, dass die Nachricht aus Apples Mail-Infrastruktur stammte und nicht gefälscht war.

Der eigentliche Trick liegt in der Manipulation der Kontodaten: Der Angreifer legt eine Apple-ID an und trägt die Phishing-Nachricht in die persönlichen Datenfelder des Kontos ein. Da kein einzelnes Feld die gesamte Betrugsnachricht aufnehmen kann, wird der Text auf das Vor- und das Nachnamenfeld aufgeteilt. BleepingComputer konnte dieses Verhalten mit einem eigens angelegten Testkonto nachstellen, indem ähnlicher Text in beide Namensfelder eingetragen wurde.

Um die Benachrichtigung über die Profiländerung auszulösen, ändert der Angreifer anschließend die Versandinformationen des Kontos. Apple verschickt daraufhin eine Sicherheitswarnung über die Änderung. Weil Apple die vom Nutzer eingegebenen Vor- und Nachnamenfelder in diese Benachrichtigungen übernimmt, landet die Phishing-Nachricht direkt im Text einer legitimen Warnmeldung.

Im konkreten Fall enthielt die E-Mail den Hinweis auf eine Änderung am Apple-Konto hxfedna24005@icloud.com sowie einen Ködertext, der einen iPhone-Kauf über 899 US-Dollar via PayPal behauptete und zum Anruf unter einer angegebenen Nummer aufforderte. Die Mail wurde zunächst an eine mit dem Angreiferkonto verknüpfte iCloud-Adresse gesendet, die ebenfalls in der Benachrichtigung auftaucht – das verstärkt den Eindruck, das Konto sei gehackt worden. Die Header-Analyse zeigt, dass der ursprüngliche Empfänger von der finalen Zustelladresse abweicht; vermutlich verteilt der Angreifer die Mails über eine Verteilerliste an mehrere Ziele.

Bei früheren Rückruf-Phishing-Kampagnen diente der erlangte Fernzugriff dazu, Geld von Bankkonten zu stehlen, Malware zu installieren oder Daten abzugreifen. Die aktuelle Kampagne ähnelt einem früheren Vorgehen, bei dem iCloud-Kalendereinladungen missbraucht wurden, um gefälschte Kaufbenachrichtigungen über Apples Server zu versenden.

BleepingComputer kontaktierte Apple zu der Kampagne, erhielt jedoch keine Antwort; der Missbrauch ist weiterhin möglich. Generell sollten Nutzer unerwartete Kontowarnungen, die Käufe melden oder zum Anruf bei einer Support-Nummer auffordern, mit Vorsicht behandeln – insbesondere wenn sie keine entsprechenden Änderungen veranlasst haben oder die Mail ungewöhnliche E-Mail-Adressen enthält.