Jack网络犯罪分子最近找到一个聪明办法,能绕过邮箱安全过滤,直接把钓鱼邮件塞进你的主要收件箱,Bleeping Computer报道称。他们正在滥用苹果官方的账户提醒系统,发送极具迷惑性的钓鱼消息。通过篡改苹果针对常规资料更新自动发出的邮件,黑客成功诱导用户拨打假客服电话,从而骗取钱财。
攻击者把假消息藏在合法的资料更新邮件里
这个骗局的核心就是钻官方通知系统的空子。攻击者先注册一个账户,然后把精心编写的钓鱼内容直接填进姓名或地址字段。比如,邮件里可能会声称你的账户刚买了一部昂贵的新手机。
接着,黑客对资料做一个小改动,触发系统的常规安全提醒。当苹果自动生成通知邮件时,那条假消息就会被一起带进去。受害者看到的,就是一条吓人的巨额消费警告。
这些邮件能绕过常规安全过滤,因为它们是真的
这种手法特别危险,因为警告邮件确实来自苹果验证过的官方服务器,并非伪造发件地址。由于消息出自官方基础设施,普通的邮箱安全过滤器自然会放行,直接送到你的主要收件箱。
大多数垃圾邮件过滤器主要检查恶意链接或可疑发件人,而这条消息使用的是可信发件地址,而且是让你打电话而不是点链接,所以安全工具根本看不出问题。
千万别打这些账户提醒里的电话号码
这类攻击被称为“回拨钓鱼”。犯罪分子就是想让你慌了神,赶紧拨打邮件里留的假客服电话。一旦接通,他们就会套取你的信用卡信息,或者诱导你安装远程控制软件。
如果你突然收到邮件说账户有大额消费,先深呼吸,别急着打上面给的电话。正确做法是直接用浏览器登录你的苹果账户,查看官方的购买记录。
全部评论0