Người dùng iMessage tại Việt Nam đang đối mặt với một chiến dịch smishing (lừa đảo qua tin nhắn) nguy hiểm, được thiết kế để vô hiệu hóa tính năng bảo vệ chống lừa đảo tích hợp sẵn của dịch vụ nhắn tin này. Cuộc tấn công tiềm ẩn nguy cơ ảnh hưởng đến hàng triệu người dùng, nhưng bạn hoàn toàn có thể tự bảo vệ mình chỉ bằng một thay đổi nhỏ trong thói quen sử dụng.
Cách Thức Tấn Công Smishing iMessage Vô Hiệu Hóa Bảo Mật
Tính năng bảo mật tích hợp của Apple trên iMessage có khả năng chặn các liên kết gửi từ người gửi không xác định. Mục đích của cơ chế này là bảo vệ người dùng khỏi việc tiếp xúc với các liên kết độc hại. Tuy nhiên, tội phạm mạng đã tìm ra một lỗ hổng để lách qua tính năng này bằng cách lừa bạn tự tay tắt bỏ lớp bảo vệ đó.
Kẻ tấn công gửi các thông báo giả mạo, yêu cầu người dùng iMessage phản hồi. Những tin nhắn này thường xuất hiện dưới dạng thông báo giao hàng giả mạo hoặc tin nhắn phạt phí cầu đường chưa thanh toán. Tin nhắn yêu cầu người dùng trả lời “Y” (có) hoặc “N” (không) để xác nhận việc chấp nhận hoặc từ chối giao hàng/thanh toán. Việc bạn trả lời sẽ cho iMessage biết rằng số điện thoại này đã “quen thuộc” với bạn, từ đó các liên kết trong tin nhắn sẽ được kích hoạt.
Ví dụ tin nhắn lừa đảo smishing iMessage từ Bleeping Computer
Trang Bleeping Computer báo cáo rằng tin nhắn lừa đảo cũng thường kèm theo hướng dẫn như “Thoát tin nhắn, mở lại liên kết kích hoạt tin nhắn, hoặc sao chép liên kết vào trình duyệt Safari” để nhận trạng thái giao hàng mới nhất hoặc thanh toán phí. Liên kết này sẽ dẫn người dùng đến một trang web lừa đảo (phishing site), nơi thông tin cá nhân và tài chính của họ bị đánh cắp, sau đó được sử dụng cho mục đích đánh cắp danh tính, gian lận thẻ tín dụng và các cuộc tấn công khác.
Vì nhiều người đã quen với việc trả lời “STOP”, “YES” hoặc “NO” để xác nhận hoặc hủy các cuộc hẹn hay thông báo hợp lệ qua tin nhắn, kẻ tấn công đã lợi dụng thói quen này để khiến người dùng nghĩ rằng việc trả lời là vô hại. Ngay cả khi bạn không nhấp vào liên kết, việc trả lời đã cho kẻ tấn công biết rằng bạn là người dễ phản hồi các tin nhắn smishing, biến bạn thành mục tiêu cho các cuộc tấn công trong tương lai.
Cách Tự Bảo Vệ Khỏi Lừa Đảo iMessage
Để bảo vệ bản thân, hãy tuyệt đối không trả lời tin nhắn từ những số lạ, đặc biệt là khi bạn nhận được thông báo về một gói hàng không mong đợi hoặc một khoản phí phạt mà bạn không hề biết. Luôn coi các liên kết được gửi từ những nguồn không xác định là độc hại và tuyệt đối không nhấp vào.
Nếu bạn không chắc chắn về một gói hàng hay khoản phí nào đó và vẫn muốn kiểm tra, hãy đóng ứng dụng iMessage và truy cập trực tiếp vào trang web chính thức của công ty liên quan bằng trình duyệt. Liên hệ dịch vụ khách hàng của họ để xác minh thông tin. Bạn cũng có thể đăng nhập vào tài khoản của mình thông qua trang web hoặc ứng dụng chính thức của họ. Đừng bao giờ truy cập trang web bằng liên kết từ tin nhắn.
Hãy cảnh giác với những tin nhắn gây áp lực, yêu cầu bạn hành động “ngay lập tức”, đưa ra “ưu đãi có thời hạn”, hoặc đe dọa với hậu quả tiêu cực nếu không phản hồi ngay. Hầu hết các vụ lừa đảo đều được thiết kế để khiến bạn hành động trước khi kịp suy nghĩ, từ đó dễ dàng trao thông tin cho kẻ gian trước khi nhận ra mình đã bị lừa.
Bạn Cần Làm Gì Khi Đã Lỡ Phản Hồi?
Nếu bạn đã lỡ phản hồi hoặc làm theo hướng dẫn của kẻ tấn công trước khi nhận ra đó là một trò lừa đảo, vẫn có những cách để giảm thiểu thiệt hại:
- Chặn số điện thoại: Hãy chặn ngay lập tức số điện thoại đã gửi tin nhắn để ngăn chúng tiếp tục gửi tin nhắn cho bạn.
- Thay đổi mật khẩu và bật xác thực đa yếu tố (MFA): Thay đổi mật khẩu của tất cả các tài khoản quan trọng (ngân hàng, email, mạng xã hội, tài khoản Apple ID). Sau đó, hãy bật xác thực đa yếu tố (MFA) cho tất cả các dịch vụ có hỗ trợ để tăng cường bảo mật.
- Liên hệ ngân hàng: Nếu bạn đã cung cấp thông tin tài chính (số thẻ, thông tin tài khoản ngân hàng), hãy gọi ngay cho ngân hàng của bạn. Ngân hàng có thể giúp bạn đóng băng tài khoản, hủy thẻ tín dụng và phát hành thẻ mới.
- Theo dõi các giao dịch đáng ngờ: Thường xuyên kiểm tra sao kê thẻ tín dụng và tài khoản ngân hàng để phát hiện bất kỳ giao dịch đáng ngờ nào.
- Cập nhật phần mềm: Đảm bảo rằng thiết bị của bạn luôn được cập nhật phiên bản phần mềm hoặc bản vá bảo mật mới nhất ngay khi chúng có sẵn. Điều này giúp vá các lỗ hổng bảo mật và phòng tránh các cuộc tấn công trong tương lai.
Luôn giữ tinh thần cảnh giác và ưu tiên bảo mật thông tin cá nhân của bạn trên không gian mạng.
