Fałszywe maile o przepełnieniu iCloud

Korzystasz z urządzeń w ekosystemie Apple? Dokładnie czytaj maile z ostrzeżeniami. CERT Orange Polska w ciągu ostatnich godzin zaobserwował trzy kampanie phishingowe, sugerujące przepełnienie iClouda i konieczność logowania pod podanym przez oszustów linkiem.

W opisywanym przypadku wektorem ataku jest wiadomość e-mail.

Mamy ostrzeżenie: „Pisaliśmy do Państwa trzykrotnie”, mamy potencjalne konsekwencje „wszystkie zdjęcia i filmy zostaną usunięte”. I mamy nadawcę o nazwie „Ostrzeżenia Apple”. Jednak prezentowane odbiorcy adresy, to:

• admin@notino.pl
• powiadomienia@allegro.pl

Czy ktoś uzyskał nieautoryzowany dostęp do sieci obu wymienionych powyżej firm? Z prawdopodobieństwem bliskim pewności po prostu oszust zespoofował adresy. Czemu jednak akurat perfumeria online i czołowy serwis aukcyjny? Z jednej strony – znane firmy budzą zaufanie. Z drugiej jednak – jeśli potencjalna ofiara zobaczy Allegro w kontekście iClouda, może to spowodować, że zastanowi się zanim cokolwiek kliknie.

Kradną hasło do iCloud? Nie – pieniądze, jak zawsze

Co dzieje się dalej?

Choć powyższe zrzuty wyglądają podobnie, żaden z nich nie wymusza podania hasła do iCloud. Pierwszy przypadek to w zasadzie formalnie nie oszustwo. W tej sytuacji choć oszuści przekonują nas, że płacimy za miejsce w chmurze, w pewnym momencie trafiamy na stronę usługi zewnętrznej, gdzie płacimy 1,99€ za pierwszy miesiąc, a za kolejne już po 9,99€. Jeśli jesteśmy ofiarą i zorientowaliśmy się, za co zapłaciliśmy – wystarczy odezwać się do firmy i po prostu wstrzymać płatność.

W drugiej sytuacji już przez cały czas funkcjonujemy w infrastrukturze oszustów. Najpierw proponowana nam jest „wyjątkowa oferta lojalnościowa”, gdzie za jedyne 7 złotych zapewnimy sobie nieskończone miejsce na nasze pliki, które w innym przypadku zostałyby usunięte. Na decyzję mamy jednak tylko 5 minut (reguła niedostępności).

Wybór „upgrade storage” przeprowadzi nas do strony, gdzie podamy oszustom dane naszej karty płatniczej. W tym przypadku nie ma oczywiście mowy o zwrocie pieniędzy.

Jak nie dać się oszukać?

Jeśli trafi do Ciebie tego typu ostrzeżenie – zawsze zacznij od wejścia na stronę usługodawcy i sprawdzenia stanu swojej subskrypcji. Zawsze zweryfikuj domenę na stronie, na której podajesz dane logowania lub dane karty płatniczej.

Nie masz pewności, czy faktycznie kończy Ci się miejsce na koncie iCloud? Możesz to po prostu sprawdzić w ustawieniach swojego urządzenia Apple. A jeśli chcesz zakupić dodatkowe miejsce w chmurze – korzystaj z oficjalnych stron dostawcy usługi.

Aktualizacja luty 2026

Wciąż otrzymujemy zgłoszenia od czytelników cert.orange.pl o pojawiających się aktualizacjach oszustwa. Schemat działania pozostaje bez zmian, jedyną różnicą w przypadku nowych wersji jest zróżnicowana oprawa graficzna wiadomości mailowych. Treść wiadomości jest napisana tonem, który wymaga od nas natychmiastowej reakcji:

Możesz nie mieć możliwości wysyłania ani odbierania wiadomości e-mail. Twoje pliki są na razie bezpieczne, ale mogą zostać usunięte, jeśli miejsce w chmurze nie zostanie odnowione.

Oraz jesteśmy kuszeni dodatkowymi bonusami:

Zaktualizuj teraz i otrzymaj 50 GB dodatkowej pamięci w chmurze.
Ulepsz teraz i otrzymaj 50 GB dodatkowo pamięci w chmurze.

Aktualizacja: Marek Olszewski

Orange Polska bierze udział w finansowanym przez Unię Europejską projekcie ThreatChase (ThreatChase – Open Platform for Protection against Phishing). Celem projektu jest stworzenie i wprowadzenie platformy wspomagającej strukturyzację danych w zakresie phishingowych adresów i domen oraz proaktywnie zapobiegającej skutkom ataków phishingowych. Obserwuj ThreatChase na LinkedIn.