Một chiến dịch tấn công smishing nguy hiểm đang nhắm mục tiêu vào người dùng iMessage của Apple, sử dụng kỹ thuật social engineering tinh vi để vô hiệu hóa tính năng bảo vệ chống lừa đảo tích hợp sẵn trong dịch vụ nhắn tin này. Cuộc tấn công tiềm ẩn nguy cơ phơi bày hàng triệu người dùng, nhưng bạn hoàn toàn có thể tự bảo vệ mình bằng cách thay đổi một thói quen đơn giản.
Smishing là gì và cách cuộc tấn công này vô hiệu hóa bảo mật iMessage
Smishing là một hình thức lừa đảo qua tin nhắn SMS hoặc ứng dụng nhắn tin, trong đó kẻ tấn công giả mạo làm một tổ chức hoặc cá nhân đáng tin cậy để lừa người dùng tiết lộ thông tin cá nhân nhạy cảm hoặc truy cập vào các liên kết độc hại.
Tính năng bảo mật tích hợp sẵn của Apple trong iMessage được thiết kế để chặn các liên kết độc hại được gửi từ những người gửi không xác định. Mục đích là để bảo vệ người dùng khỏi việc tiếp xúc với các trang web lừa đảo (phishing site) hoặc phần mềm độc hại. Tuy nhiên, các tội phạm mạng đã tìm ra một lỗ hổng để qua mặt tính năng này bằng cách lừa bạn tự vô hiệu hóa lớp bảo vệ đó.
Kẻ tấn công gửi các tin nhắn giả mạo yêu cầu người dùng iMessage phản hồi. Những tin nhắn này thường xuất hiện dưới dạng thông báo giao hàng giả mạo hoặc tin nhắn về phí cầu đường chưa thanh toán. Tin nhắn yêu cầu người dùng trả lời “Y” (có) hoặc “N” (không) để chấp nhận hoặc từ chối dịch vụ. Việc bạn trả lời, dù là “Y” hay “N”, sẽ khiến iMessage hiểu rằng số điện thoại này đã được bạn biết, từ đó các liên kết trong tin nhắn sẽ được kích hoạt và không còn bị chặn nữa.
Trang tin tức bảo mật uy tín Bleeping Computer báo cáo rằng tin nhắn lừa đảo còn bao gồm hướng dẫn “Thoát khỏi tin nhắn, mở lại liên kết kích hoạt tin nhắn, hoặc sao chép liên kết vào trình duyệt Safari” để cập nhật trạng thái giao hàng hoặc thanh toán phí. Khi người dùng nhấp vào liên kết này, họ sẽ bị chuyển hướng đến một trang web lừa đảo (phishing site) được thiết kế để đánh cắp thông tin cá nhân và tài chính, sau đó được sử dụng cho các mục đích như đánh cắp danh tính, gian lận thẻ tín dụng và các cuộc tấn công mạng khác.
Ví dụ về các tin nhắn smishing giả mạo nhằm lừa đảo người dùng iMessage
Vì hầu hết mọi người đã quen với việc trả lời “STOP”, “YES” hoặc “NO” để xác nhận hoặc hủy các cuộc hẹn hoặc thông báo hợp pháp qua tin nhắn, kẻ tấn công đã lợi dụng thói quen này để khiến người dùng nghĩ rằng việc trả lời là vô hại. Ngay cả khi bạn không nhấp vào liên kết, việc phản hồi tin nhắn cũng đã cho kẻ tấn công biết rằng bạn là người có khả năng phản hồi các tin nhắn smishing, biến bạn thành mục tiêu cho các cuộc tấn công tương lai.
Bảo vệ bản thân khỏi các cuộc tấn công Smishing trên iMessage
Để bảo vệ bản thân khỏi các chiêu trò lừa đảo tinh vi này, hãy luôn tuân thủ các nguyên tắc sau:
- Tuyệt đối không phản hồi tin nhắn từ số lạ: Đặc biệt nếu bạn nhận được thông báo về một gói hàng không mong đợi hoặc một khoản phí mà bạn không hề quen thuộc. Việc phản hồi sẽ vô hiệu hóa tính năng bảo mật tích hợp sẵn của Apple.
- Luôn coi liên kết từ nguồn không xác định là độc hại: Không bao giờ nhấp vào các liên kết được gửi từ những nguồn bạn không tin tưởng hoặc không quen biết.
- Xác minh thông tin qua kênh chính thức: Nếu bạn không chắc chắn về một gói hàng hay khoản phí cần thanh toán, đừng sử dụng liên kết trong tin nhắn. Thay vào đó, hãy đóng ứng dụng iMessage và truy cập trực tiếp vào trang web chính thức của công ty (ví dụ: công ty vận chuyển, ngân hàng, cơ quan thu phí) thông qua trình duyệt của bạn. Bạn cũng có thể liên hệ với dịch vụ khách hàng của họ để xác minh thông tin.
- Cảnh giác với các dấu hiệu lừa đảo: Hãy thận trọng với những tin nhắn yêu cầu bạn hành động “ngay lập tức”, đưa ra “ưu đãi có giới hạn”, hoặc đe dọa bạn bằng những hậu quả tiêu cực nếu không phản hồi ngay lập tức. Hầu hết các vụ lừa đảo đều được thiết kế để khiến bạn hành động theo cảm tính trước khi kịp suy nghĩ, từ đó dễ dàng trao thông tin cho kẻ lừa đảo.
Cần làm gì nếu bạn đã lỡ phản hồi hoặc làm theo hướng dẫn?
Nếu bạn đã lỡ phản hồi tin nhắn hoặc làm theo hướng dẫn của kẻ tấn công trước khi nhận ra đó là một trò lừa đảo, vẫn có những cách để giảm thiểu rủi ro:
- Chặn số điện thoại ngay lập tức: Điều này sẽ ngăn chặn kẻ tấn công gửi thêm tin nhắn cho bạn.
- Thay đổi mật khẩu và bật xác thực đa yếu tố (MFA): Đổi ngay mật khẩu cho tất cả các tài khoản trực tuyến quan trọng của bạn (email, ngân hàng, mạng xã hội, v.v.) và bật xác thực đa yếu tố (MFA) để tăng cường bảo mật. MFA thêm một lớp bảo vệ bằng cách yêu cầu mã xác minh thứ hai, ngay cả khi kẻ tấn công có được mật khẩu của bạn.
- Liên hệ ngân hàng ngay lập tức (nếu đã cung cấp thông tin tài chính): Nếu bạn đã cung cấp thông tin tài chính như số tài khoản ngân hàng hoặc chi tiết thẻ tín dụng, hãy gọi ngay cho ngân hàng của bạn. Ngân hàng có thể đóng băng tài khoản, hủy thẻ tín dụng và cấp thẻ mới cho bạn.
- Bảo vệ thông tin cá nhân (nếu đã cung cấp PII): Nếu bạn đã cung cấp thông tin nhận dạng cá nhân (PII) có thể được sử dụng để đánh cắp danh tính, hãy liên hệ với các tổ chức quản lý tín dụng hoặc dịch vụ bảo vệ danh tính để tìm hiểu cách đóng băng tín dụng hoặc theo dõi hoạt động đáng ngờ. Điều này giúp ngăn chặn kẻ lừa đảo sử dụng thông tin của bạn để vay tiền hoặc mở thẻ tín dụng mới dưới tên bạn.
- Theo dõi sao kê tài chính: Thường xuyên kiểm tra sao kê thẻ tín dụng và ngân hàng của bạn để phát hiện bất kỳ giao dịch đáng ngờ nào.
- Cân nhắc sử dụng dịch vụ bảo vệ danh tính: Các dịch vụ này thường bao gồm tính năng giám sát tín dụng và thông tin cá nhân (PII). Một số dịch vụ nâng cao còn giám sát các hồ sơ mạng xã hội được tạo dưới tên bạn hoặc hỗ trợ phục hồi dữ liệu bị đánh cắp.
- Cập nhật phần mềm thiết bị: Đảm bảo tải xuống các bản cập nhật phần mềm hoặc bản vá lỗi mới nhất cho thiết bị của bạn ngay khi chúng có sẵn. Những bản cập nhật này thường khắc phục các lỗ hổng bảo mật và giúp ngăn chặn các cuộc tấn công trong tương lai.
Tóm lại, chiến dịch smishing nhắm vào người dùng iMessage là một lời nhắc nhở quan trọng về sự nguy hiểm của các mối đe dọa trực tuyến. Hãy luôn cảnh giác, không tin vào những tin nhắn đáng ngờ, và hành động nhanh chóng nếu bạn phát hiện mình đã bị lừa. Việc chủ động bảo vệ thông tin cá nhân và tài chính là chìa khóa để giữ an toàn trong thế giới công nghệ ngày nay. Hãy chia sẻ thông tin này để bảo vệ bạn bè và gia đình của bạn khỏi các chiêu trò lừa đảo tương tự!
