Người dùng iPhone nên cảnh giác với chiêu lừa mới

Cảnh giác yêu cầu đặt lại mật khẩu Apple ID

Theo KrebsOnSecurity, các cuộc tấn công lừa đảo lợi dụng lỗi trong tính năng đặt lại mật khẩu của Apple ngày càng trở nên phổ biến.

Cụ thể, kẻ tấn công sẽ liên tục gửi thông báo yêu cầu đặt lại mật khẩu đến iPhone, Apple Watch, máy Mac với hi vọng người dùng bị nhắm mục tiêu sẽ phê duyệt nhầm (hoặc cảm thấy mệt mỏi và nhấp vào).

Nếu nạn nhân nhấp vào thông báo và cho phép, kẻ tấn công sẽ có thể thay đổi mật khẩu Apple ID. Trong trường hợp người dùng không cho phép nhiều lần, kẻ lừa đảo sẽ gọi cho nạn nhân và giả mạo là nhân viên hỗ trợ của Apple, nói rằng tài khoản của người dùng đang bị tấn công và công ty cần “xác minh lại”.

Vì các yêu cầu đặt lại mật khẩu nhắm mục tiêu Apple ID nên chúng sẽ xuất hiện trên tất cả các thiết bị đăng nhập cùng tài khoản. Người dùng X (trước đây là Twitter) - Parth Patel gần đây đã chia sẻ trải nghiệm khi bị tấn công và nói rằng mình không thể sử dụng thiết bị cho đến khi nhấp vào tùy chọn Don’t allow (không cho phép) hơn 100 lần.

Trong trường hợp của Patel, kẻ tấn công đã sử dụng thông tin bị rò rỉ từ một trang web tìm kiếm, bao gồm tên, địa chỉ hiện tại, địa chỉ trước đây và số điện thoại…

KrebsOnSecurity đã xem xét vấn đề và phát hiện ra rằng những kẻ tấn công dường như đang lạm dụng lỗi trong tính năng Forget password (quên mật khẩu) của Apple.

Không rõ những kẻ tấn công lợi dụng hệ thống để gửi nhiều tin nhắn cho người dùng Apple như thế nào, nhưng có vẻ như đây là một lỗi đang bị khai thác.

Người dùng cần làm gì để không bị mắc bẫy?

Người dùng đang sở hữu các thiết bị của Apple (iPhone, Apple Watch, máy Mac…) sẽ là mục tiêu của hình thức tấn công này. Để đảm bảo an toàn, các chuyên gia khuyến cáo bạn cần phải cảnh giác trước những thông báo, tin nhắn yêu cầu đặt lại mật khẩu (reset password), hãy chọn Don’t allow (không cho phép) nếu đó không phải là yêu cầu của bạn. Lưu ý, Apple không thực hiện các cuộc gọi điện thoại yêu cầu mã đặt lại mật khẩu.

Trong suốt năm 2022, một nhóm tội phạm mạng có tên LAPSUS$ đã sử dụng cách “dội bom” tin nhắn, thông báo tương tự như trên để xâm nhập vào Cisco, Microsoft và Uber.

Để đáp lại, Microsoft bắt đầu thực thi tính năng “MFA number matching”, hiển thị một chuỗi số cho người dùng đang cố gắng đăng nhập bằng thông tin xác thực của họ. Sau đó, những số này phải được nhập vào ứng dụng Microsoft authenticator của chủ tài khoản trên thiết bị di động của họ để xác minh rằng họ đang đăng nhập vào tài khoản.

Vào tháng 8-2019, nhà nghiên cứu Kishan Bagaria đã báo cáo một lỗi cho phép khai thác mà ông đặt tên là “AirDOS”, vì nó có thể được sử dụng để cho phép kẻ tấn công spam vô hạn tất cả các thiết bị iOS lân cận bằng lời nhắc cấp hệ thống để chia sẻ tệp qua AirDrop (tính năng chia sẻ trên các thiết bị của Apple).

Apple đã sửa lỗi đó gần bốn tháng sau vào tháng 12-2019, gửi lời cảm ơn tới Bagaria trong bản tin bảo mật liên quan. Bagaria cho biết cách khắc phục của Apple là bổ sung giới hạn tốc độ chặt chẽ hơn đối với các yêu cầu AirDrop và ông nghi ngờ rằng ai đó đã tìm ra cách vượt qua giới hạn tốc độ của Apple về số lượng yêu cầu đặt lại mật khẩu này.