假冒蘋果行事曆邀請 隱蔽釣魚攻擊瞄準18億iPhone用戶銀行帳號
全球約18億名iPhone用戶近日接獲警告,一種偽裝成蘋果(Apple)行事曆邀請的新型詐騙正在快速蔓延。由於詐騙訊息透過蘋果官方伺服器發送,難以被垃圾郵件過濾器攔截,更顯隱蔽。
根據《unilad》報導,這類詐騙常以「購買通知」為包裝,內容顯示一筆虛構的PayPal付款紀錄,例如「您的PayPal帳戶已被扣款599.00美元」,並附上所謂的客服電話。受害者若回撥,將落入「回撥式網路釣魚」陷阱,對方假扮客服人員,進一步要求下載惡意軟體,以竊取銀行帳號與憑證。
資安平台Bleeping Computer揭露,詐騙者會在iCloud行事曆邀請的備註欄中植入釣魚訊息,並同時邀請由他們掌控的Microsoft 365信箱,以規避偵測。由於郵件確實經過蘋果伺服器傳送,看似合法,傳統防護機制更難分辨。CyberSmart執行長阿克塔爾(Jamie Akhtar)直言,來源經過驗證往往使收件人更容易上當。
資安顧問賈馬利克(Javvad Malik)提醒,使用者必須對所有郵件與行事曆邀請保持懷疑。他建議檢視三個問題:這是否在預期之內?內容是否刻意挑動情緒?是否設下急迫時限要求立刻行動?若答案為「是」,就應立即停下,並透過官方管道自行驗證,而不是依照郵件或邀請中的指示操作。
專家指出,詐騙手法正在進化,從過去容易識別的拼字錯誤或可疑郵件地址,逐漸轉向利用正規伺服器偽裝,讓過濾器與使用者更難察覺異常。蘋果也已確認相關情況,並強調切勿隨意點擊或回撥詐騙邀請中的電話號碼,以避免落入陷阱。