Notifikasi perubahan akun Apple saat ini tengah disalahgunakan oleh aktor ancaman siber untuk mengirimkan penipuan phishing pembelian iPhone palsu. Karena email tersebut dikirim langsung dari server resmi Apple, pesan ini terlihat sangat sah dan berpotensi besar lolos dari pemblokiran filter spam.
Seorang pembaca BleepingComputer melaporkan sebuah email yang sekilas tampak seperti notifikasi keamanan standar Apple terkait pembaruan informasi akun. Namun, alih-alih peringatan biasa, pesan tersebut menyisipkan umpan phishing yang mengklaim bahwa pembelian iPhone senilai USD 899 telah berhasil dilakukan melalui PayPal, lengkap dengan nomor telepon yang harus dihubungi untuk membatalkan transaksi.
“Dear User 899 USD iPhone Purchase Via Pay-Pal To Cancel 18023530761,” bunyi cuplikan email phishing tersebut, dilanjutkan dengan teks standar Apple: “Perubahan berikut pada Akun Apple Anda, [alamat email penyerang], dilakukan pada 14 April 2026…”
Modus Operandi: Rekayasa Sosial via “Telepon Bantuan”
Email semacam ini dirancang dengan rekayasa sosial tingkat tinggi untuk menipu penerima agar panik dan percaya bahwa akun mereka telah diretas untuk melakukan pembelian curang. Kepanikan ini diharapkan akan mendorong korban untuk segera menelepon nomor “dukungan” (support) palsu yang tertera.
Ketika korban menelepon nomor tersebut, para penipu (scammers) biasanya akan:
- Berusaha meyakinkan korban bahwa akun mereka benar-benar telah dikompromikan.
- Menginstruksikan korban untuk menginstal perangkat lunak akses jarak jauh (remote access).
- Meminta informasi sensitif atau kredensial keuangan.
Dalam berbagai kampanye callback phishing sebelumnya, akses jarak jauh ini digunakan secara brutal untuk menguras dana dari rekening bank, menyebarkan malware, atau mencuri data pribadi.
Celah Teknis: Menyalahgunakan Sistem Notifikasi Apple
Meskipun umpan phishing ini bukan hal baru, kampanye ini menyoroti bagaimana peretas terus berevolusi dengan mengeksploitasi fitur situs web yang sah.
Email phishing ini dikirim langsung dari infrastruktur Apple menggunakan alamat appleid@id.apple.com. Hebatnya, email ini lulus pemeriksaan autentikasi keamanan SPF, DKIM, dan DMARC, yang secara teknis membuktikan bahwa email tersebut adalah pesan asli dari Apple dan bukan alamat yang dipalsukan (spoofed).
Bagaimana penyerang melakukannya?
- Memanipulasi Nama: Aktor ancaman membuat ID Apple baru dan memasukkan teks pesan phishing ke dalam kolom informasi pribadi akun, membagi pesannya di kolom Nama Depan dan Nama Belakang (karena satu kolom tidak cukup menampung seluruh pesan penipuan).
- Memicu Notifikasi: Untuk memicu sistem agar mengirimkan peringatan, penyerang kemudian mengubah Informasi Pengiriman (Shipping Information) akun tersebut. Hal ini membuat Apple secara otomatis mengirimkan peringatan keamanan tentang perubahan profil.
- Pesan Tertanam: Karena Apple selalu menyertakan kolom Nama Depan dan Nama Belakang yang diisi pengguna ke dalam teks notifikasi ini, pesan phishing tersebut ikut tertanam langsung ke dalam email dan terkirim sebagai bagian dari peringatan yang sah.
Analisis header email menunjukkan bahwa alamat pengiriman awal ditujukan ke alamat email iCloud milik peretas. Namun, peretas kemungkinan besar menggunakan taktik milis (mailing list) untuk mendistribusikan notifikasi asli tersebut ke ribuan email korban yang menjadi target.
Taktik licik ini sangat mirip dengan kampanye masa lalu yang menyalahgunakan undangan Kalender iCloud untuk mengirim pemberitahuan pembelian palsu melalui server Apple.
Tips Keamanan: Sebagai aturan praktis, selalu perlakukan peringatan akun tak terduga yang mengklaim adanya pembelian atau mendesak Anda untuk menelepon nomor dukungan tertentu dengan sangat hati-hati. Jangan pernah menelepon nomor yang tertera di email; pastikan untuk selalu memverifikasi aktivitas melalui dasbor akun resmi atau menghubungi layanan dukungan dari situs web resminya secara langsung.