พบการนำระบบการแจ้งเตือนการเปลี่ยนแปลงข้อมูลบัญชีของ Apple มาใช้ในทางที่ผิด เพื่อส่งอีเมลหลอกลวงเกี่ยวกับการซื้อ iPhone ปลอม โดยแฝงมาในอีเมลที่ดูเหมือนถูกต้องตามปกติ ซึ่งส่งมาจากเซิร์ฟเวอร์ของ Apple ทำให้ดูน่าเชื่อถือมากขึ้น และอาจทำให้สามารถ bypass อุปกรณ์ป้องกันสแปมได้
ผู้อ่านรายหนึ่งได้แชร์อีเมลให้กับ BleepingComputer โดยอีเมลดังกล่าวดูเหมือนการแจ้งเตือนด้านความปลอดภัยตามปกติจาก Apple ที่ระบุว่า ข้อมูลบัญชีของผู้ใช้ได้รับการอัปเดตแล้ว
อย่างไรก็ตาม ภายในข้อความนั้นกลับมีการแทรกเนื้อหาเพื่อล่อลวงเหยื่อ โดยอ้างว่ามีการสั่งซื้อ iPhone มูลค่า 899 ดอลลาร์สหรัฐผ่าน PayPal พร้อมทั้งระบุหมายเลขโทรศัพท์ให้โทรไปแจ้งยกเลิกรายการ
"เรียนผู้ใช้งาน มีการสั่งซื้อ iPhone มูลค่า 899 ดอลลาร์สหรัฐผ่าน PayPal หากต้องการยกเลิกกรุณาติดต่อ 18023530761"
"การเปลี่ยนแปลงต่อไปนี้ในบัญชี Apple ของคุณ hxfedna24005[@]icloud[.]com ได้ดำเนินการเมื่อวันที่ 14 เมษายน 2026 เวลา 19:01:40 น. GMT:"
"ข้อมูลการจัดส่ง"
อีเมลเหล่านี้ถูกออกแบบมาเพื่อหลอกลวงให้ผู้รับหลงเชื่อว่าบัญชีของตนถูกนำไปใช้ในการซื้อสินค้าโดยไม่ได้รับอนุญาต และทำให้เกิดความตกใจจนต้องโทรไปยังหมายเลขฝ่าย support ของมิจฉาชีพ
เมื่อเหยื่อโทรไปตามหมายเลขดังกล่าว โดยปกติแล้วมิจฉาชีพจะพยายามหว่านล้อมให้เหยื่อเชื่อว่าบัญชีของตนถูกบุกรุก และอาจสั่งให้ติดตั้งซอฟต์แวร์ควบคุมจากระยะไกล หรือขอข้อมูลทางการเงิน
ในแคมเปญ Callback Phishing ที่เคยเกิดขึ้นก่อนหน้านี้ การเข้าถึงจากระยะไกลลักษณะนี้ถูกใช้เพื่อขโมยเงินจากบัญชีธนาคาร ติดตั้งมัลแวร์ หรือขโมยข้อมูล
การใช้ประโยชน์จากการแจ้งเตือนบัญชี Apple
แม้ว่ากลอุบายฟิชชิ่งจะไม่ใช่เรื่องใหม่ แต่แคมเปญนี้แสดงให้เห็นว่ากลุ่มผู้ไม่หวังดียังคงพัฒนาวิธีการอย่างต่อเนื่อง โดยการใช้ประโยชน์จากฟีเจอร์ที่ถูกต้องของเว็บไซต์เพื่อดำเนินการโจมตี
อีเมลฟิชชิ่งนี้ถูกส่งมาจากโครงสร้างพื้นฐานของ Apple โดยตรงผ่านที่อยู่ appleid[@]id[.]apple[.]com และผ่านการตรวจสอบยืนยันทั้ง SPF, DKIM และ DMARC ซึ่งบ่งชี้ว่าเป็นอีเมลที่ส่งมาจาก Apple จริง
จากการวิเคราะห์ Email Headers เพิ่มเติม พบว่าข้อความดังกล่าวมีต้นทางมาจากโครงสร้างพื้นฐานระบบเมลของ Apple และไม่ใช่ Spoofing แต่อย่างใด
ในการโจมตี ผู้ไม่หวังดีจะสร้าง Apple ID ขึ้นมาใหม่ และแทรกข้อความฟิชชิ่งลงในช่องข้อมูลส่วนบุคคลของบัญชี โดยแบ่งข้อความออกเป็นสองส่วน คือส่วนชื่อ และส่วนนามสกุล BleepingComputer สามารถจำลองพฤติกรรมนี้ได้สำเร็จด้วยการสร้างบัญชี Apple สำหรับทดสอบ และเพิ่มข้อความ Callback Phishing ในลักษณะเดียวกันลงในช่องชื่อ และนามสกุล ทั้งนี้เนื่องจากแต่ละช่องไม่สามารถใส่ข้อความหลอกลวงทั้งหมดลงไปได้ในช่องเดียว
ในการทำให้ระบบส่งการแจ้งเตือนการเปลี่ยนโปรไฟล์บัญชี Apple ผู้โจมตีจะเข้าไปแก้ไขข้อมูลการจัดส่งของบัญชี ซึ่งจะทำให้ Apple ส่งข้อความแจ้งเตือนด้านความปลอดภัยเพื่อแจ้งให้ผู้ใช้ทราบถึงการเปลี่ยนแปลงดังกล่าว
เนื่องจาก Apple จะใส่ข้อมูลในช่องชื่อ และนามสกุลที่ผู้ใช้เป็นคนระบุเองลงไปในคำแจ้งเตือนเหล่านี้ด้วย ข้อความฟิชชิ่งจึงถูกฝังลงในอีเมลโดยตรง และส่งออกไปในฐานะส่วนหนึ่งของการแจ้งเตือนที่ถูกต้องตามปกติ
แม้ว่าเป้าหมายของการโจมตีจะได้รับข้อความนี้ แต่อีเมลถูกส่งไปยังที่อยู่ iCloud ที่เชื่อมโยงกับบัญชีของผู้โจมตีในตอนแรก ซึ่งที่อยู่อีเมลนี้จะปรากฏอยู่ในอีเมลแจ้งเตือน ทำให้ดูน่ากังวลมากขึ้น และอาจทำให้บางคนเชื่อว่าบัญชีถูกแฮ็กจริง
จากการวิเคราะห์ Email Header แสดงให้เห็นว่า ผู้รับในตอนแรกนั้นแตกต่างจากที่อยู่ปลายทางสุดท้าย ซึ่งบ่งชี้ว่าผู้โจมตีน่าจะใช้รายชื่อผู้รับอีเมล เพื่อกระจายอีเมลไปยังเป้าหมายหลายรายพร้อมกัน
แคมเปญนี้มีความคล้ายคลึงกับแคมเปญฟิชชิงก่อนหน้านี้ที่มีการใช้การ Invite ผ่าน iCloud Calendar ในทางที่ผิด เพื่อส่งการแจ้งเตือนการซื้อปลอมผ่านเซิร์ฟเวอร์ของ Apple
ตามหลักการทั่วไป ผู้ใช้ควรระมัดระวังการแจ้งเตือนบัญชีซึ่งอ้างว่ามีการซื้อสินค้า หรือเร่งรัดให้โทรไปยังหมายเลขฝ่าย Support โดยเฉพาะอย่างยิ่งหากผู้ใช้ไม่ได้ทำรายการเปลี่ยนแปลงใด ๆ เมื่อเร็ว ๆ นี้ หรือหากในอีเมลมีที่อยู่อีเมลที่ดูผิดปกติปรากฏอยู่
ที่มา : Bleepingcomputer
You must be logged in to post a comment.