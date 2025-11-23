Cộng đồng bảo mật vừa rúng động trước câu chuyện của Eric Moret - một chuyên gia tại Broadcom, người đã suýt trở thành nạn nhân của một vụ chiếm đoạt tài khoản Apple ID (iCloud) được dàn dựng công phu. Vụ việc là hồi chuông cảnh báo về mức độ tinh vi mới của tội phạm mạng.

Vụ tấn công bắt đầu bằng đòn tâm lý quen thuộc, khi nạn nhân liên tục nhận được hàng loạt thông báo về việc ai đó đang cố gắng đăng nhập tài khoản iCloud. Ngay khi nạn nhân hoang mang, một cuộc gọi từ 'nhân viên hỗ trợ Apple' xuất hiện với giọng điệu bình tĩnh và chuyên nghiệp, đề nghị giúp đỡ.

Điểm mấu chốt khiến vụ lừa đảo này trở nên nguy hiểm tột độ nằm ở chỗ kẻ gian đã gửi được email xác thực từ địa chỉ chính thức của Apple.

Theo phân tích, tin tặc đã khai thác một lỗ hổng trong hệ thống hỗ trợ của Apple. Lỗ hổng này cho phép bất kỳ ai cũng có thể tạo phiếu hỗ trợ dưới danh nghĩa nhân viên mà không cần xác minh kỹ càng. Kết quả là nạn nhân nhận được một email 'xịn' từ chính Apple, xóa tan mọi nghi ngờ về việc mình đang nói chuyện với kẻ lừa đảo.

Sau khi lấy được lòng tin qua cuộc điện thoại kéo dài 25 phút, kẻ lừa đảo hướng dẫn nạn nhân truy cập vào một đường link để đóng hồ sơ vụ việc.

Khi quá trình đặt lại mật khẩu hoàn tất, Moret được thông báo rằng anh sẽ nhận được liên kết để “đóng hồ sơ hỗ trợ”. Đây chính là bước cuối của trò lừa đảo, đường link này dẫn đến trang web giả mạo có tên miền 'appeal-apple.com' .

Trang này cho biết tài khoản của anh đang được bảo mật, và để hoàn tất, anh cần nhập mã xác minh 6 chữ số gửi qua SMS. Khi nhận được, anh nhập mã vào trang giả – và đó chính là lúc những kẻ lừa đảo chiếm quyền truy cập tài khoản.

May mắn là trực giác đã cứu Moret vào phút chót. Nhận thấy dấu hiệu bất thường khi kẻ gian trấn an rằng việc đăng nhập lạ là bình thường, anh lập tức đổi mật khẩu lần thứ hai và đá văng tin tặc ra khỏi hệ thống chỉ trong gang tấc.

Những lưu ý để bảo vệ iCloud

Trước thủ đoạn tinh vi như thật này, các chuyên gia khuyến cáo người dùng cần tuân thủ nghiêm ngặt:

Quy tắc vàng OTP : Không bao giờ cung cấp mã xác thực 2 lớp cho bất kỳ ai, hoặc nhập vào bất kỳ trang web nào mà bạn không chủ động truy cập từ đầu.﻿

Không tin vào Caller ID : Kẻ gian có thể làm giả số điện thoại hiển thị là 'Apple Support'. Nếu nghi ngờ, hãy dập máy và tự gọi lại theo số trên trang chủ Apple.

Cảnh giác với đường link : Luôn kiểm tra kỹ tên miền. Trang hỗ trợ của Apple luôn kết thúc bằng .apple.com . Những tên miền như appeal-apple.com, apple-support-help.com đều là giả mạo. ﻿

