Cảnh báo lừa đảo Smishing qua iMessage: Bảo vệ iPhone và thông tin cá nhân của bạn
Một chiến dịch tấn công Smishing nguy hiểm đang nhắm mục tiêu vào người dùng Apple iMessage, sử dụng kỹ thuật lừa đảo xã hội (social engineering) để vô hiệu hóa tính năng bảo vệ chống lừa đảo tích hợp của dịch vụ nhắn tin này. Cuộc tấn công có khả năng phơi bày hàng triệu người dùng vào nguy cơ, nhưng bạn hoàn toàn có thể tự bảo vệ mình bằng cách thay đổi một thói quen bảo mật đơn giản.
Smishing là gì và cơ chế tấn công iMessage hoạt động như thế nào?
Smishing, một dạng tấn công lừa đảo (phishing) thông qua tin nhắn SMS, đang ngày càng trở nên tinh vi. Trong chiến dịch mới này, kẻ tấn công khai thác một lỗ hổng trong cách người dùng tương tác với iMessage để vượt qua các lớp bảo vệ cơ bản.
Apple đã tích hợp một tính năng bảo mật quan trọng trong iMessage: tự động chặn các liên kết gửi từ những người gửi không xác định. Mục đích của tính năng này là bảo vệ người dùng khỏi việc tiếp xúc với các liên kết độc hại. Tuy nhiên, các tội phạm mạng đã tìm ra một thủ thuật để qua mặt tính năng này bằng cách lừa bạn vô hiệu hóa chính lớp bảo vệ chống lừa đảo đó.
Bước 1: Lừa bạn phản hồi tin nhắn
Kẻ tấn công gửi các thông báo giả mạo, yêu cầu người dùng iMessage phải trả lời. Những tin nhắn này thường xuất hiện dưới dạng thông báo giao hàng giả mạo hoặc tin nhắn về phí cầu đường chưa thanh toán. Nội dung tin nhắn sẽ yêu cầu người dùng trả lời bằng “Y” (có) hoặc “N” (không) để chấp nhận hoặc từ chối gói hàng/yêu cầu. Hành động trả lời này sẽ khiến iMessage hiểu rằng số điện thoại gửi tin nhắn là một số bạn “biết” hoặc đã tương tác, từ đó các liên kết trong tin nhắn sẽ được kích hoạt mà không bị chặn.
Bước 2: Dẫn dụ đến trang web lừa đảo và đánh cắp dữ liệu
Theo báo cáo từ Bleeping Computer, các tin nhắn lừa đảo này cũng bao gồm hướng dẫn như “Thoát khỏi tin nhắn, mở lại liên kết kích hoạt tin nhắn, hoặc sao chép liên kết vào trình duyệt Safari” để nhận thông tin cập nhật về tình trạng giao hàng hoặc thanh toán phí cầu đường. Liên kết này dẫn người dùng đến một trang web lừa đảo (phishing site) được thiết kế để đánh cắp thông tin cá nhân và tài chính của họ. Dữ liệu bị đánh cắp sau đó sẽ được sử dụng cho mục đích đánh cắp danh tính, gian lận thẻ tín dụng và các hình thức tấn công khác.
Ví dụ các tin nhắn lừa đảo Smishing giả mạo thông báo giao hàng hoặc phí phạt trên iMessage, được báo cáo bởi Bleeping Computer.
Vì hầu hết mọi người đã quen với việc trả lời các từ khóa như “STOP”, “YES”, hoặc “NO” để xác nhận hoặc hủy các cuộc hẹn, thông báo hợp pháp qua tin nhắn, kẻ tấn công đã lợi dụng thói quen này để khiến người dùng nghĩ rằng việc trả lời là vô hại. Ngay cả khi bạn không nhấp vào liên kết, việc trả lời đã ngầm báo cho kẻ tấn công biết rằng bạn là người có khả năng phản hồi các tin nhắn smishing, biến bạn thành mục tiêu cho các cuộc tấn công trong tương lai.
Cách phòng tránh hiệu quả chiến dịch lừa đảo Smishing trên iMessage
Để tự bảo vệ mình khỏi mối đe dọa smishing này, nguyên tắc cơ bản nhất là không bao giờ trả lời tin nhắn từ những số điện thoại mà bạn không nhận ra, đặc biệt là khi bạn nhận được tin nhắn về một gói hàng mà bạn không mong đợi hoặc một khoản phạt mà bạn không biết. Luôn coi các liên kết được gửi từ các nguồn không xác định là độc hại: tuyệt đối không nhấp vào. Ngoài ra, bạn cũng có thể tìm hiểu thêm về các cách khác để phát hiện tin nhắn smishing và tránh các vụ lừa đảo.
Xác minh thông tin từ nguồn chính thức
Nếu bạn không chắc chắn về việc có một gói hàng hoặc một khoản phí cần thanh toán nhưng vẫn muốn kiểm tra, hãy đóng ứng dụng iMessage và mở trang web chính thức của công ty liên quan bằng trình duyệt của bạn. Liên hệ với bộ phận chăm sóc khách hàng của họ để xác minh thông tin. Bạn cũng có thể đăng nhập vào tài khoản của mình thông qua trang web hoặc ứng dụng chính thức của công ty. Tuyệt đối không truy cập trang web bằng liên kết từ tin nhắn bạn nhận được.
Nhận diện các dấu hiệu lừa đảo phổ biến
Hãy cảnh giác với những tin nhắn gây áp lực, đòi hỏi bạn phải hành động “ngay lập tức”, đưa ra “ưu đãi có thời hạn”, hoặc đe dọa bằng những hậu quả tiêu cực nếu bạn không phản hồi ngay lập tức. Hầu hết các vụ lừa đảo phishing được thiết kế để khiến bạn hành động trước khi kịp suy nghĩ. Điều này khiến bạn cung cấp thông tin cho kẻ gian trước khi nhận ra mình đã bị lừa đảo.
Nên làm gì nếu bạn đã phản hồi hoặc nhấp vào liên kết lừa đảo?
Nếu bạn đã phản hồi hoặc làm theo hướng dẫn của kẻ tấn công trước khi nhận ra đó là một vụ lừa đảo, vẫn có những cách để giảm thiểu thiệt hại.
Các bước bảo vệ ban đầu
Đầu tiên, hãy chặn ngay số điện thoại đã gửi tin nhắn để ngăn chặn chúng tiếp tục gửi thêm thông báo. Sau đó, hãy thay đổi mật khẩu của tất cả các tài khoản trực tuyến của bạn và bật xác thực đa yếu tố (MFA) cho mọi tài khoản hỗ trợ để tăng cường bảo mật.
Bảo vệ thông tin tài chính
Nếu bạn đã cung cấp thông tin tài chính của mình, hãy gọi ngay cho ngân hàng. Ngân hàng có thể đóng băng tài khoản của bạn, hủy thẻ tín dụng hiện tại và phát hành một thẻ mới.
Bảo vệ danh tính cá nhân (PII)
Trong trường hợp thông tin nhận dạng cá nhân (PII) của bạn đã bị lộ và có thể bị sử dụng để đánh cắp danh tính, bạn có thể liên hệ với các tổ chức tín dụng như TransUnion, Equifax và Experian để đóng băng tín dụng của mình. Việc này sẽ ngăn chặn kẻ gian sử dụng thông tin của bạn để vay tiền hoặc đăng ký thẻ tín dụng mới dưới tên của bạn.
Theo dõi và sử dụng dịch vụ bảo vệ danh tính
Hãy theo dõi sát sao sao kê thẻ tín dụng và tài khoản ngân hàng của bạn để phát hiện các giao dịch đáng ngờ. Bạn cũng có thể cân nhắc sử dụng các dịch vụ bảo vệ danh tính bao gồm giám sát tín dụng và PII. Các dịch vụ nâng cao còn có tính năng giám sát mạng xã hội để phát hiện các hồ sơ giả mạo được tạo dưới tên bạn, cũng như hỗ trợ khôi phục dữ liệu bị đánh cắp hoặc quy trình khôi phục danh tính.
Cập nhật phần mềm định kỳ
Cuối cùng, hãy đảm bảo rằng bạn đã tải xuống các bản cập nhật phần mềm và vá lỗi mới nhất cho thiết bị của mình ngay khi chúng có sẵn. Những bản cập nhật này thường chứa các bản vá lỗi bảo mật quan trọng, giúp khắc phục các lỗ hổng và ngăn chặn các cuộc tấn công trong tương lai.
Kết luận
Chiến dịch lừa đảo smishing qua iMessage là một lời nhắc nhở rõ ràng về sự nguy hiểm luôn rình rập trong không gian kỹ thuật số. Kẻ tấn công ngày càng tinh vi trong việc khai thác tâm lý và thói quen của người dùng để vượt qua các lớp bảo vệ. Việc cảnh giác và áp dụng các biện pháp phòng ngừa cơ bản như không tương tác với các tin nhắn đáng ngờ, xác minh thông tin qua kênh chính thức, và nhận diện các dấu hiệu lừa đảo là chìa khóa để bảo vệ bản thân và thông tin cá nhân của bạn. Nếu không may trở thành nạn nhân, việc hành động nhanh chóng theo các bước đã nêu có thể giúp giảm thiểu đáng kể thiệt hại. Hãy luôn duy trì sự thận trọng và không ngừng nâng cao kiến thức về bảo mật mạng để giữ an toàn trên không gian mạng.
Bạn đã từng gặp phải tin nhắn lừa đảo tương tự trên iMessage hoặc các nền tảng khác chưa? Hãy chia sẻ kinh nghiệm và cách bạn đã xử lý trong phần bình luận bên dưới!
