Apple帳號變更通知遭濫用，有攻擊者將其用於發送釣魚信件，原廠通知機制反成為攻擊管道

攻擊者濫用Apple帳號變更通知機制

國外資安媒體BleepingComputer近日揭露，Apple帳號變更通知被濫用於發送釣魚信件，在看似正常的原廠通知訊息中挾帶釣魚詐騙訊息，攻擊者試圖藉此提高信件可信度，增加通過郵件驗證與過濾機制的機率。

攻擊者會先創建一個虛假的Apple ID，並將釣魚內容拆分並填入帳號的「名」與「姓」欄位中，隨後修改帳號的「送貨信息」以觸發Apple系統自動發送帳號變更通知。由於該通知為原廠發出，因此在視覺上與正常郵件無異，容易讓用戶誤以為是合法來源。

此類釣魚信件通常嵌入虛假的iPhone購買連結，並以「帳戶變更」為名稱，誘導用戶點擊連結，進而導向惡意網站，最終導致帳號資訊被竊取。

Apple官方強調，其威脅通知絕不會要求用戶點擊連結、打開檔案、安裝App或提供帳戶密碼與驗證碼。若收到類似通知，應謹慎判斷，並直接透過Apple官方網站或App登入確認真偽。

用戶應定期檢查「Apple 帳號」的登入裝置與電子郵件地址，並使用「安全密鑰」來加強帳戶防護，以降低遭網路釣魚攻擊的風險。