Một chiến dịch smishing cực kỳ nguy hiểm đang nhắm mục tiêu vào người dùng Apple iMessage, sử dụng thủ đoạn lừa đảo qua mạng xã hội (social engineering) để vô hiệu hóa tính năng bảo vệ chống lừa đảo (phishing protection) tích hợp của dịch vụ nhắn tin này. Cuộc tấn công tiềm ẩn nguy cơ phơi bày thông tin của hàng triệu người dùng, nhưng bạn hoàn toàn có thể tự bảo vệ mình chỉ bằng một thay đổi nhỏ trong thói quen sử dụng.
Cách Thức Tấn Công Smishing Vô Hiệu Hóa Bảo Mật iMessage
Tính năng bảo mật tích hợp của Apple trên iMessage có khả năng tự động chặn các liên kết được gửi đến nếu tin nhắn đó đến từ một người gửi không xác định. Mục đích của tính năng này là bảo vệ người dùng khỏi việc tiếp xúc với các liên kết độc hại. Tuy nhiên, các tội phạm mạng đã tìm ra một lỗ hổng để vượt qua lớp bảo vệ này bằng cách lừa bạn tự tay vô hiệu hóa tính năng chống lừa đảo.
Kẻ tấn công sẽ gửi các thông báo giả mạo yêu cầu người dùng iMessage phải trả lời. Những tin nhắn này thường xuất hiện dưới dạng thông báo giao hàng giả hoặc tin nhắn về một khoản phí cầu đường chưa thanh toán. Tin nhắn yêu cầu người dùng trả lời “Y” (Yes – Có) hoặc “N” (No – Không) để chấp nhận hoặc từ chối gói hàng/xác nhận thông tin. Việc bạn phản hồi, dù là “Y” hay “N”, sẽ khiến iMessage nhận định rằng số điện thoại này đã được “biết đến” bởi bạn, do đó, các liên kết trong tin nhắn sẽ được kích hoạt và không còn bị chặn nữa.
Trang tin công nghệ và bảo mật Bleeping Computer đã báo cáo rằng tin nhắn lừa đảo này thường bao gồm cả hướng dẫn “Thoát tin nhắn, mở lại liên kết kích hoạt tin nhắn, hoặc sao chép liên kết vào trình duyệt Safari” để xem trạng thái giao hàng mới nhất hoặc thanh toán phí cầu đường. Liên kết này sẽ đưa người dùng đến một trang web lừa đảo (phishing site) nơi thông tin cá nhân và tài chính của họ bị đánh cắp, sau đó được sử dụng cho các mục đích lừa đảo danh tính, gian lận thẻ tín dụng và các cuộc tấn công khác.
Ví dụ tin nhắn lừa đảo smishing iMessage từ Bleeping Computer
Vì mọi người đã quen với việc trả lời “STOP”, “YES” hoặc “NO” để xác nhận hoặc hủy các cuộc hẹn hay thông báo hợp pháp qua tin nhắn, kẻ tấn công đã lợi dụng điều này để khiến người dùng tin rằng việc trả lời là vô hại. Ngay cả khi bạn không nhấp vào liên kết, việc bạn phản hồi tin nhắn cũng báo hiệu cho kẻ tấn công biết rằng bạn là người có khả năng phản ứng với các tin nhắn smishing, biến bạn thành mục tiêu cho các cuộc tấn công trong tương lai.
Cách Tự Bảo Vệ Khỏi Tấn Công Smishing Trên iMessage
Để bảo vệ bản thân khỏi mối đe dọa smishing tinh vi này, điều quan trọng nhất là bạn không nên trả lời các tin nhắn văn bản từ những số điện thoại mà bạn không nhận ra, đặc biệt là nếu bạn nhận được tin nhắn về một gói hàng không mong đợi hoặc một khoản phí mà bạn không hề biết đến. Luôn coi các liên kết được gửi bởi các nguồn không xác định là độc hại và tuyệt đối không nhấp vào chúng. Có nhiều cách khác để nhận diện một tin nhắn smishing nhằm tránh các chiêu trò lừa đảo tinh vi.
Nếu bạn không chắc chắn về một gói hàng hay một khoản phí cần thanh toán nhưng vẫn muốn kiểm tra, hãy đóng ứng dụng iMessage và truy cập trang web chính thức của công ty đó bằng trình duyệt của bạn. Liên hệ với bộ phận chăm sóc khách hàng của họ để xác minh thông tin. Bạn cũng có thể đăng nhập vào tài khoản của mình thông qua trang web hoặc ứng dụng chính thức của công ty. Không truy cập trang web bằng liên kết từ tin nhắn.
Hãy cảnh giác với những tin nhắn gây áp lực buộc bạn phải hành động “ngay lập tức”, đưa ra “ưu đãi có thời hạn” hoặc đe dọa hậu quả tiêu cực nếu bạn không phản hồi ngay lập tức. Hầu hết các vụ lừa đảo phishing đều được thiết kế để khiến bạn hành động trước khi kịp suy nghĩ. Điều này khiến bạn vô tình cung cấp thông tin cho kẻ lừa đảo trước khi nhận ra mình đã bị lừa.
Phải Làm Gì Nếu Bạn Đã Phản Hồi Hoặc Làm Theo Hướng Dẫn
Nếu bạn đã lỡ phản hồi hoặc làm theo hướng dẫn của kẻ tấn công trước khi nhận ra đây là một vụ lừa đảo, vẫn có những cách để giảm thiểu thiệt hại.
Đầu tiên, hãy chặn số điện thoại đó ngay lập tức để ngăn chúng gửi thêm tin nhắn cho bạn. Sau đó, thay đổi mật khẩu của các tài khoản của bạn và bật xác thực đa yếu tố (MFA) cho tất cả các dịch vụ hỗ trợ.
Nếu bạn đã cung cấp thông tin tài chính, hãy gọi ngay cho ngân hàng của bạn. Ngân hàng có thể đóng băng tài khoản, hủy thẻ tín dụng của bạn và phát hành một thẻ mới.
Trong trường hợp bạn đã cung cấp thông tin nhận dạng cá nhân (PII) có thể bị sử dụng để lừa đảo danh tính, bạn có thể liên hệ với các tổ chức tín dụng như TransUnion, Equifax và Experian (nếu có ở Việt Nam hoặc áp dụng cho dịch vụ quốc tế của bạn) để đóng băng tín dụng của mình. Làm như vậy sẽ ngăn chặn kẻ lừa đảo sử dụng thông tin của bạn để vay tiền hoặc đăng ký thẻ tín dụng mới dưới tên bạn.
Hãy theo dõi chặt chẽ sao kê thẻ tín dụng và tài khoản ngân hàng của bạn để phát hiện các giao dịch đáng ngờ. Bạn cũng có thể cân nhắc sử dụng các dịch vụ bảo vệ danh tính, bao gồm theo dõi tín dụng và PII. Các dịch vụ nâng cao còn có tính năng theo dõi các hồ sơ mạng xã hội được tạo dưới tên bạn và các dịch vụ khác như hỗ trợ khôi phục dữ liệu bị đánh cắp hoặc quy trình khôi phục danh tính.
Cuối cùng, hãy đảm bảo tải xuống các bản cập nhật phần mềm hoặc vá lỗi mới nhất cho thiết bị của bạn ngay khi chúng có sẵn. Những bản cập nhật này có thể giúp vá các lỗ hổng bảo mật và ngăn chặn các cuộc tấn công trong tương lai.
