11 月 20 日消息,科技媒体 appleinsider 昨日(11 月 19 日)发布文章指出,一种极为隐蔽的钓鱼骗局正在针对苹果用户展开。该骗局通过整合真实的苹果系统警告、伪造的客服来电以及精准的时间控制,诱导用户相信自己的账户正面临安全威胁,并主动协助攻击者完成账户盗取。
据文章介绍,与传统网络钓鱼不同,这种新型诈骗在每个环节都巧妙利用了苹果官方系统的正常行为模式,极大提升了欺骗性,即便是具备一定网络安全意识的用户也难以察觉异常。
邮件中隐藏风险的链接。图源:Eric Moret
骗局的第一步是让用户设备(如 iPhone、iPad 或 Mac)突然频繁弹出双因素认证请求。这些通知来自苹果的真实服务器,短时间内大量出现,迅速引发用户对账户被盗的恐慌情绪。
随后,诈骗者以苹果技术支持人员的身份拨打电话,语气专业且冷静,声称将帮助用户解决账户异常问题。为了增强可信度,他们还会使用已掌握的用户邮箱信息,在苹果官方支持系统中创建一个真实的服务案例。这使得用户很快会收到一封内容与电话描述完全一致的正规邮件,进一步加深其信任感。
诈骗者已在苹果系统内提交申诉请求。图源:Eric Moret
在通话过程中,骗子会指导用户自行前往“设置”页面更改密码。由于整个过程不需要用户提供密码或验证码,用户的警惕心理被大幅削弱。接着,攻击者会称需点击短信中的链接来关闭此前创建的支持工单。
通过短信接收到的双因素验证代码。图源:Eric Moret
该链接跳转至一个名为“appeal-apple.com”的钓鱼网站,页面设计高度仿冒苹果官方风格,甚至配备了有效的 HTTPS 安全证书。当用户输入真实的案件编号后,攻击者便立即发起一次真实的登录尝试,诱使用户将苹果发送的官方验证码输入到此假冒网站中。
这一骗局之所以极具迷惑性,关键在于它并非完全依赖虚假信息,而是借力苹果自身的服务流程制造真实感,并通过严密的时间配合瓦解用户的判断力。整个过程中,攻击者表现得耐心而专业,避免任何急迫言辞,使整套操作看起来如同标准的官方支持流程。
此次事件再次警示:即使启用了双因素认证,一旦用户被误导而在非官方平台提交验证码,账户仍可能被攻破。为确保账户安全,用户应始终对未经主动请求的安全电话保持怀疑态度,切勿在非苹果官网输入任何验证码或个人信息。
