Die Nachrichten sollen den Empfänger, der nichts bestellt oder abonniert hat, aus der Reserve locken. Das Kalkül der Täter: Der Nutzer klickt direkt auf Links wie „Abonnement beenden“ oder „Cancel purchase“ in der Mail. Die führen jedoch auf eine perfekt gefälschte Apple-Seite, wo dann Apple-ID- und Passwort abgefischt werden sollen.

Um den Handlungsdruck zu erhöhen, wird in den Mails angemerkt, dass es einen Fremdzugriff aufs eigene Apple-Konto gegeben haben könnte.

Am besten löschen Empfänger solche Mails gleich. Außerdem rät das LKA unbedingt zum Einrichten der Zweifaktor-Authentifizierung für die Apple-ID. Dann haben Angreifer selbst mit Passwort keinen Zugriff auf das Konto, weil bei der Anmeldung zusätzlich ein Überprüfungscode eingegeben werden muss, der dem Nutzer etwa auf seinem Smartphone angezeigt wird.