Một chiến dịch tấn công smishing nguy hiểm đang nhắm mục tiêu vào người dùng Apple iMessage, sử dụng các thủ đoạn lừa đảo qua mạng xã hội (social engineering) để vô hiệu hóa tính năng bảo vệ chống lừa đảo tích hợp sẵn của dịch vụ nhắn tin này. Cuộc tấn công tiềm ẩn nguy cơ ảnh hưởng đến hàng triệu người dùng iPhone, nhưng bạn hoàn toàn có thể tự bảo vệ mình chỉ bằng cách thay đổi một thói quen đơn giản. Hãy cùng meocongnghe.com tìm hiểu chi tiết về mối đe dọa này và cách phòng tránh hiệu quả.
Smishing iMessage Vô Hiệu Hóa Bảo Mật Như Thế Nào?
Apple trang bị cho iMessage một lớp bảo mật quan trọng: tính năng chặn các liên kết gửi từ người gửi không xác định. Mục đích của tính năng này là bảo vệ người dùng khỏi việc vô tình nhấp vào các liên kết độc hại, gây rò rỉ thông tin hoặc nhiễm mã độc. Tuy nhiên, các tội phạm mạng đã tìm ra một “lỗ hổng” tinh vi để vượt qua lớp bảo vệ này bằng cách lừa bạn tự tay tắt nó.
Kẻ Tấn Công Lợi Dụng Lỗ Hổng Tâm Lý
Thủ đoạn của kẻ tấn công là gửi các tin nhắn cảnh báo giả mạo, yêu cầu người dùng iMessage phải phản hồi. Những tin nhắn này thường đội lốt dưới dạng thông báo giao hàng thất bại hoặc thông báo phạt nguội chưa thanh toán. Nội dung tin nhắn sẽ yêu cầu người dùng trả lời bằng “Y” (có) hoặc “N” (không) để xác nhận hoặc từ chối gói hàng/khoản phí.
Mánh Khóe “Trả Lời Y/N”
Khi bạn trả lời “Y” hoặc “N”, iMessage sẽ tự động “hiểu” rằng số điện thoại gửi tin nhắn là một liên hệ “đã biết”. Điều này khiến tính năng bảo vệ mặc định bị vô hiệu hóa, và đột nhiên, các liên kết trong tin nhắn từ số đó trở nên “kích hoạt” và có thể nhấp được. Kẻ gian lợi dụng thực tế rằng nhiều người đã quen với việc trả lời “STOP”, “YES”, hoặc “NO” để xác nhận hoặc hủy bỏ các cuộc hẹn, thông báo hợp pháp qua tin nhắn, khiến họ nghĩ rằng việc phản hồi là vô hại.
Trang tin công nghệ Bleeping Computer đã báo cáo rằng tin nhắn lừa đảo cũng bao gồm hướng dẫn “Thoát khỏi tin nhắn, mở lại liên kết kích hoạt tin nhắn, hoặc sao chép liên kết vào trình duyệt Safari” để kiểm tra trạng thái giao hàng hoặc thanh toán phí. Liên kết này sẽ đưa người dùng đến một trang web lừa đảo (phishing site), nơi thông tin cá nhân và tài chính của họ bị đánh cắp, sau đó được sử dụng cho mục đích đánh cắp danh tính, gian lận thẻ tín dụng và các cuộc tấn công mạng khác.
Ví dụ tin nhắn lừa đảo smishing nhắm vào iMessage của Apple được Bleeping Computer công bố
Ngay cả khi bạn không nhấp vào liên kết, việc trả lời tin nhắn đã vô tình cho kẻ tấn công biết rằng bạn là người dễ bị lừa bởi các tin nhắn smishing, biến bạn thành mục tiêu tiềm năng cho các cuộc tấn công trong tương lai.
Cách Tự Bảo Vệ Mình Khỏi Tấn Công Smishing iMessage
Bảo vệ bản thân khỏi các cuộc tấn công smishing đòi hỏi sự cảnh giác và tuân thủ một số nguyên tắc cơ bản về an toàn mạng.
Nguyên Tắc “Không Trả Lời, Không Nhấp Chuột”
Điều quan trọng nhất là không bao giờ trả lời các tin nhắn văn bản từ những số lạ mà bạn không nhận ra. Đặc biệt là khi bạn nhận được thông báo về một gói hàng không mong đợi hoặc một khoản phạt không quen thuộc. Luôn luôn coi các liên kết được gửi từ các nguồn không xác định là độc hại: tuyệt đối không nhấp vào chúng. Ngoài ra, hãy tìm hiểu thêm các dấu hiệu để nhận biết một tin nhắn smishing lừa đảo.
Xác Minh Thông Tin Qua Kênh Chính Thức
Nếu bạn không chắc chắn về một gói hàng hay một khoản phí cần thanh toán, nhưng vẫn muốn kiểm tra, hãy làm theo các bước sau:
- Đóng ứng dụng iMessage.
- Mở trình duyệt web của bạn và truy cập trực tiếp vào trang web chính thức của công ty liên quan (ví dụ: công ty chuyển phát, cơ quan nhà nước, ngân hàng).
- Liên hệ với bộ phận chăm sóc khách hàng của họ để xác minh thông tin.
- Bạn cũng có thể đăng nhập vào tài khoản của mình thông qua trang web hoặc ứng dụng chính thức của công ty đó. Tuyệt đối không truy cập trang web bằng liên kết từ tin nhắn lừa đảo.
Cảnh Giác Với Các Tin Nhắn Gấp Gáp
Hãy cảnh giác với những tin nhắn gây áp lực buộc bạn phải hành động “ngay lập tức”, đưa ra “ưu đãi có giới hạn”, hoặc đe dọa hậu quả tiêu cực nếu bạn không phản hồi. Hầu hết các vụ lừa đảo lừa đảo đều được thiết kế để khiến bạn hành động trước khi kịp suy nghĩ. Điều này khiến bạn vô tình cung cấp thông tin cho kẻ gian trước khi nhận ra mình đã bị lừa.
Phải Làm Gì Nếu Đã Lỡ Bị Lừa?
Nếu bạn đã lỡ phản hồi hoặc làm theo hướng dẫn của kẻ tấn công trước khi nhận ra đó là một trò lừa đảo, vẫn có những cách để giảm thiểu thiệt hại.
Ngăn Chặn Kẻ Tấn Công
Đầu tiên và quan trọng nhất, hãy chặn ngay lập tức số điện thoại đó để ngăn chúng gửi thêm tin nhắn cho bạn. Sau đó, hãy thay đổi mật khẩu của tất cả các tài khoản quan trọng (email, mạng xã hội, ngân hàng trực tuyến) và bật xác thực đa yếu tố (MFA) ở mọi nơi có thể. MFA tạo thêm một lớp bảo mật, khiến kẻ gian khó truy cập tài khoản của bạn hơn ngay cả khi chúng có mật khẩu.
Bảo Vệ Tài Khoản Ngân Hàng và Thẻ Tín Dụng
Nếu bạn đã cung cấp thông tin tài chính (số thẻ, mã CVV, thông tin ngân hàng), hãy gọi ngay cho ngân hàng của bạn. Ngân hàng có thể đóng băng tài khoản, hủy thẻ tín dụng hiện tại và phát hành thẻ mới cho bạn. Hành động nhanh chóng có thể ngăn chặn các giao dịch gian lận.
Đóng Băng Tín Dụng để Ngăn Chặn Đánh Cắp Danh Tính
Trong trường hợp bạn đã cung cấp thông tin nhận dạng cá nhân (PII) có thể bị sử dụng để đánh cắp danh tính (ví dụ: số CMND/CCCD, ngày sinh, địa chỉ), bạn có thể liên hệ với các tổ chức tín dụng (nếu có ở Việt Nam, hoặc các tổ chức tương tự nếu thông tin bị lộ ở nước ngoài) để yêu cầu đóng băng tín dụng. Việc này sẽ ngăn chặn kẻ gian sử dụng thông tin của bạn để vay tiền hoặc đăng ký thẻ tín dụng mới dưới tên bạn.
Liên Tục Cập Nhật Phần Mềm và Sử Dụng Dịch Vụ Bảo Vệ
Hãy luôn đảm bảo tải xuống các bản cập nhật phần mềm hoặc vá lỗi mới nhất cho thiết bị của bạn ngay khi chúng có sẵn. Những bản cập nhật này thường khắc phục các lỗ hổng bảo mật và giúp ngăn chặn các cuộc tấn công trong tương lai. Bạn cũng có thể cân nhắc sử dụng các dịch vụ bảo vệ danh tính, bao gồm giám sát tín dụng và PII. Các dịch vụ nâng cao thậm chí còn có tính năng giám sát mạng xã hội để phát hiện các hồ sơ giả mạo dưới tên bạn hoặc hỗ trợ phục hồi dữ liệu bị đánh cắp/danh tính.
Hy vọng những thông tin trên từ meocongnghe.com sẽ giúp bạn trang bị kiến thức cần thiết để bảo vệ bản thân khỏi các chiến dịch lừa đảo tinh vi. Hãy luôn cảnh giác và chia sẻ thông tin này để nâng cao nhận thức cộng đồng. Bạn có kinh nghiệm nào về việc đối phó với smishing không? Hãy chia sẻ ý kiến của bạn ở phần bình luận bên dưới nhé!
