보안정보

Callback ScamEmailApplePhishing

Apple 계정 변경 알림 악용, 피싱 이메일 유포

분석팀 2026.04.20



Apple 계정 변경 알림 기능이 피싱 공격에 악용되고 있다.


공격자는 Apple 서버에서 발송된 것처럼 위장한 가짜 iPhone 구매 피싱 메시지를 전달한다. 


이는 사기성 이메일이 합법적인 것처럼 보이게 하여, 스팸 필터 우회 가능성을 높인다. 


한 사례에서는 계정 정보가 업데이트 되었다는 내용의 일반적인 Apple 보안 알림처럼 보이는 이메일이 확인됐다.


하지만 해당 메시지에는 899달러짜리 iPhone이 PayPal로 결제되었다는 내용의 피싱 문구가 삽입되어 있었다.


또한 거래를 취소하려면 특정 전화번호로 연락하라는 안내가 포함되어 있었다.




[그림 1. Apple 계정 변경 알림을 악용한 콜백 피싱 이메일]



이러한 이메일은 수신자가 자신의 계정이 사기성 구매에 사용되었다고 생각하도록 속이기 위해 설계됐다. 


이를 통해 공격자의 "고객 지원" 번호로 전화하도록 유도한다. 


피해자가 해당 번호로 전화하면 추가 공격이 이어진다.


공격자는 피해자에게 계정이 해킹되었다고 주장하며, 원격 접속 프로그램을 설치하거나 금융 정보를 제공하도록 유도한다. 


과거의 콜백 피싱 공격에서 이러한 원격 접속은 은행 계좌에서 자금을 빼내거나, 악성 소프트웨어를 배포하거나, 데이터를 탈취하는 데 사용됐다. 


피싱 공격 자체는 새로운 것이 아니지만, 이번 공격의 핵심은 합법적인 웹사이트 기능을 악용하여 공격을 감행하는 방식으로 전술을 계속해서 진화시킨다는 것이다. 


해당 피싱 이메일은 appleid@id.apple.com 주소를 사용하여, Apple의 인프라에서 발송된다.


이메일은 SPF, DKIM, DMARC 인증 검사를 통과하여, Apple에서 보낸 정상적인 이메일인 것으로 나타났다. 


dkim=pass header.d=id.apple.com header.i=@id.apple.com header.b=o3ICBLWN

spf=pass (spf.icloud.com: domain of uatdsasadmin@email.apple.com designates 17.111.110.47 as permitted sender) smtp.mailfrom=uatdsasadmin@email.apple.com


이메일 헤더를 분석한 결과, 해당 메시지는 Apple 메일 인프라에서 발송되었으며 스푸핑된 것이 아닌 것으로 나타났다. 


Initial server: rn2-txn-msbadger01107.apple.com

Outbound relay: outbound.mr.icloud.com

IP address: 17.111.110.47 (Apple-owned)


공격을 실행하기 위해 공격자는 Apple ID를 생성하고, 계정의 개인 정보 필드에 피싱 메시지를 삽입한다.


이때 텍스트는 이름과 성 필드에 걸쳐 분할된다. 




[그림 2. Apple 계정 이름 필드를 변경하여 복제 공격을 시도하는 방법]



그 다음, 공격자는 Apple 계정 프로필 변경 알림을 트리거하기 위해 계정의 배송 정보를 수정한다. 


그러면 Apple은 사용자에게 변경 사항을 알리는 보안 경고를 보낸다. 


Apple은 계정 변경 알림에 사용자 입력 이름 필드를 포함한다.


이로 인해 피싱 메시지가 이메일 본문에 그대로 삽입된다.


결과적으로 정상 알림의 일부처럼 전달된다.


해당 이메일은 공격 대상에게 전달됐다.


그러나 최초 발송 대상은 공격자의 iCloud 계정이었다.


이 이메일 주소는 알림 메일에도 함께 포함된다.


이로 인해 이메일이 더욱 위협적으로 보이고, 사용자는 계정이 실제로 해킹된 것으로 오인할 수 있다.


헤더 분석 결과, 최초 수신자와 최종 배송 주소가 다른 것으로 나타났다.


이는 공격자가 메일링 리스트를 이용하여, 여러 대상에게 이메일을 배포했을 가능성을 시사한다. 


이번 공격은 이전에 iCloud 캘린더 초대를 악용하여, Apple 서버를 통해 가짜 구매 알림을 보낸 피싱 공격과 유사하다. 


일반적으로 사용자는 구매 내역을 주장하거나 고객 지원 번호로 전화하라는 내용의 예기치 않은 계정 알림을 주의하여 처리해야 한다. 


특히 최근에 계정 변경을 하지 않았거나, 알림에 평소와 다른 이메일 주소가 포함된 경우에는 더욱 주의해야 한다.


현재 해당 악용 방식은 완전히 차단되지 않은 상태다.




출처

https://www.bleepingcomputer.com/news/security/apple-account-change-alerts-abused-to-send-phishing-emails/

목록