Une nouvelle campagne de phishing ne repose pas sur une simple usurpation d’adresse, avec les hackers utilisant un véritable e-mail Apple pour y glisser un faux achat d’iPhone et pousser la cible à appeler un faux service client, ce qui renforce fortement la crédibilité du piège.

iPhone 17 Pro Arriere Bleu Prise en Main

Les hackers exploitent le canal d’alerte d’Apple

Le cœur de l’attaque tient au mode d’envoi. L’e-mail part bien de l’adresse appleid@id.apple.com, transite par l’infrastructure d’Apple et passe les vérifications SPF, DKIM et DMARC, ce qui signifie qu’il ne s’agit pas d’un e-mail usurpé.

Les escrocs ne falsifient donc pas la notification : ils la déclenchent. Pour cela, ils créent un compte Apple, insèrent leur texte frauduleux dans les champs d’informations personnelles (nom, prénom, etc), puis modifient les informations de livraison afin qu’Apple envoie une alerte de changement de compte.

Le piège fonctionne parce qu’Apple réutilise dans ses notifications les champs prénom et nom saisis par l’utilisateur. Le faux message sur un achat d’iPhone à 899 dollars via PayPal, accompagné d’un numéro à appeler, se retrouve ainsi intégré directement dans un e-mail légitime, comme le montre une capture de BleepingComputer.

Arnaque Phishing Email Compte Apple

Une fraude de rappel qui gagne en crédibilité

L’objectif n’est pas seulement de faire peur à la victime. En appelant le numéro affiché, celle-ci peut être poussée à installer un logiciel d’accès à distance ou à transmettre des informations financières, deux issues classiques des campagnes de rappel frauduleux.

Ce type d’accès a déjà servi dans d’autres opérations à voler des fonds, déployer des logiciels malveillants ou dérober des données. Ici, le risque est renforcé par le fait que l’e-mail semble irréprochable sur le plan technique, puisqu’il provient réellement des systèmes d’Apple.

L’analyse des en-têtes laisse en plus penser à une diffusion plus large. Le destinataire d’origine diffère de l’adresse finale, ce qui suggère l’usage probable d’une liste de diffusion pour toucher plusieurs cibles, selon un schéma déjà observé auparavant avec des invitations détournées pour le calendrier sur iCloud.

Les signaux d’alerte restent pourtant les mêmes. Toute notification inattendue évoquant un achat non reconnu ou demandant d’appeler un service client doit être traitée avec prudence, surtout si aucun changement récent n’a été effectué sur le compte.