Morten Lyhne Petersen
Bedragare får Apple att själv skicka ut phishingtexten i ett äkta säkerhetsmejl.
Tekniken vänder upp och ner på det vanligaste rådet kring nätfiske, att granska avsändaradressen. Mejlet kommer från [email protected], går igenom Apples egen serverinfrastruktur och klarar samtliga autentiseringskontroller utan anmärkning.
Bedragarna registrerar ett vanligt Apple-konto och delar upp phishingtexten på fälten för förnamn och efternamn. När de därefter ändrar leveransadressen i kontot triggar de en automatisk säkerhetsnotis från Apple, där användarens namnfält visas inbäddat i mejlet, enligt en kartläggning från BleepingComputer.
Resultatet är ett mejl som ser identiskt ut med en vanlig kontonotis från Apple, men där bedragarens text gör jobbet.
Så ser den falska texten ut
Meddelandet är formulerat som en kvittobekräftelse på ett iPhone-köp för 899 dollar via PayPal, följt av ett telefonnummer som mottagaren uppmanas ringa för att stoppa transaktionen. Den ordagranna formuleringen som bedragarna har lyckats få in i Apples utskick är ”Dear User 899 USD iPhone Purchase Via Pay-Pal To Cancel” plus ett amerikanskt nummer.
Den som ringer hamnar inte hos Apple, utan hos en falsk supportcentral som försöker locka fram kortuppgifter eller övertala offret att installera fjärrstyrningsprogram.
Tekniken är effektiv eftersom mejlet rent tekniskt är äkta. Det passerar SPF, DKIM och DMARC, de tre standarder som mejlservrar använder för att kontrollera att avsändaren är den den utger sig för att vara. Eftersom utskicket sker från IP-adresser som tillhör Apple, går det också förbi de spamfilter som annars stoppar de mer plumpa varianterna av phishing.
Apples eget besked: ringer aldrig efter lösenord
Apple har en officiell riktlinje för hur företaget kommunicerar i säkerhetsfrågor. I Apples supportdokumentation om hotnotiser står det att äkta varningar från företaget aldrig kommer att be användaren att klicka på länkar, öppna filer, installera appar eller profiler eller uppge sitt kontolösenord eller en verifieringskod via mejl eller telefon.
Den rekommenderade kontrollen är enkel: logga in på account.apple.com direkt i webbläsaren. Om Apple genuint vill flagga något för dig, syns det överst på sidan efter inloggning. Klicka aldrig från själva mejlet.
För svenska användare gäller dessutom att Apple normalt fakturerar i kronor, inte i dollar. Ett kvitto i USD är i sig en varningsflagga, även när det landar i inkorgen med rätt grafik och rätt avsändare.
Polisen varnar parallellt för SMS-vågen
Det aktuella iPhone-bedrägeriet kommer samtidigt som svensk polis upprepar varningar för en bredare våg av smishing, alltså phishing via SMS. Polisen i Västra Götaland gick den 11 maj 2026 ut med en varning efter att en 75-årig kvinna fått ett falskt SMS om ett hyresavtal för en Volvo, rapporterar Provinstidningen.
Mönstret är detsamma som i Apple-fallet: ett kvitto eller en bekräftelse på något du inte har beställt, kombinerat med ett telefonnummer du uppmanas att ringa för att stoppa transaktionen. Polisens centrala råd är att aldrig lämna ut kort- eller personuppgifter, och att vidarebefordra misstänkta SMS till nummer 7726, enligt myndighetens egen vägledning.
Så agerar du om mejlet ser äkta ut
Är du osäker på ett Apple-mejl, ring aldrig numret som står i meddelandet. Logga i stället in på ditt konto via Apples ordinarie webbadress och kontrollera om någon förändring faktiskt har skett. Du kan också öppna Inställningar på din iPhone och titta direkt under ditt namn för aktuella köp och prenumerationer.
Har du redan ringt och uppgett kortnummer, spärra kortet hos banken omedelbart och gör en polisanmälan på 114 14.
Apple har enligt BleepingComputer inte besvarat frågor om huruvida bolaget tänker stänga möjligheten att skriva fritext i namnfälten på Apple-konton.
