Thêm chiêu lừa đảo mới "dội bom" trên iPhone, ai cũng nên biết
Một hình thức lừa đảo kỹ thuật mới đang nhắm thẳng vào người dùng iPhone, iPad và các thiết bị Apple khác, lợi dụng chính các lớp bảo mật của Apple.
Nếu một ngày, chiếc iPhone của bạn đột ngột bị "dội bom" bởi hàng loạt thông báo yêu cầu "Đặt lại mật khẩu Apple ID", hãy hết sức cẩn thận. Đây rất có thể là bước đầu tiên của một chiêu lừa đảo kỹ thuật vô cùng tinh vi, được biết đến với tên gọi "Tấn công làm phiền xác thực" (MFA Fatigue).
Thủ đoạn này nguy hiểm ở chỗ nó không dùng mã độc, không hack hệ thống, mà lợi dụng chính các lớp bảo mật của Apple để thao túng tâm lý, khiến người dùng tự nguyện "mở cửa" cho kẻ gian.
Mọi chuyện bắt đầu khi kẻ lừa đảo (có được email hoặc số điện thoại của bạn từ các vụ rò rỉ dữ liệu) liên tục sử dụng tính năng "Quên mật khẩu" trên trang chủ của Apple. Ngay lập tức, một loạt thông báo xác thực sẽ được gửi dồn dập đến tất cả các thiết bị đang đăng nhập Apple ID của bạn, từ iPhone, iPad đến MacBook.
Mục đích của chúng là khiến bạn hoang mang, bực bội, và trong một phút mất cảnh giác, vô tình bấm vào nút "Cho phép" (Allow).
Nhưng đó chưa phải là tất cả. Đòn tấn công tâm lý nguy hiểm nhất diễn ra ngay sau đó.
Giữa lúc bạn đang bị "dội bom" thông báo, một cuộc điện thoại sẽ reo lên. Sử dụng công nghệ giả mạo số (spoofing), tên người gọi đến sẽ hiển thị là "Apple" hoặc một số tổng đài hỗ trợ chính thức. Kẻ gian, tự xưng là nhân viên kỹ thuật của Apple, sẽ nói với giọng điệu đầy cấp bách:
"Xin chào, chúng tôi phát hiện tài khoản Apple ID của ông/bà đang bị tấn công. Chúng tôi đang gọi để hỗ trợ ông/bà bảo vệ tài khoản. Để chúng tôi có thể chặn kẻ tấn công, ông/bà vui lòng đọc cho chúng tôi mã xác thực 6 số vừa được gửi đến máy."
Đây chính là cái bẫy. "Mã xác thực" mà chúng yêu cầu không phải để bảo vệ bạn. Đó chính là Mã xác thực hai yếu tố (2FA) mà kẻ gian đang sử dụng để đăng nhập vào tài khoản của bạn từ một thiết bị khác.
Ngay khi bạn đọc mã 6 số đó, chúng sẽ hoàn tất việc đăng nhập, ngay lập tức đổi mật khẩu Apple ID, xóa các thiết bị tin cậy của bạn và chiếm đoạt hoàn toàn tài khoản. Chỉ trong vài giây, toàn bộ dữ liệu iCloud, hình ảnh, danh bạ của bạn sẽ rơi vào tay chúng.
Trước thủ đoạn tinh vi này, sự bình tĩnh và cảnh giác của bạn là tuyến phòng thủ quan trọng nhất. Hãy luôn ghi nhớ các nguyên tắc bất di bất dịch sau:
Tuyệt đối không bấm "Cho phép" (Allow). Khi nhận được bất kỳ yêu cầu đặt lại mật khẩu hay đăng nhập nào mà không phải do chính bạn khởi tạo, hãy kiên nhẫn bấm "Không cho phép" (Don't Allow) cho tất cả các thông báo.
Không bao giờ chia sẻ mã xác thực. Ghi nhớ kỹ: Apple, ngân hàng, hay bất kỳ công ty uy tín nào cũng KHÔNG BAO GIỜ gọi điện thoại để yêu cầu bạn cung cấp mật khẩu, mã OTP hay mã xác thực hai yếu tố. Các mã này chỉ dành cho một mình bạn.
Chủ động cúp máy. Nếu có bất kỳ ai tự xưng là Apple (hay bất kỳ tổ chức nào) gọi đến và yêu cầu thông tin nhạy cảm trong lúc đáng ngờ, hãy cúp máy ngay lập tức. Nếu lo lắng, bạn hãy tự tìm số hỗ trợ chính thức trên trang chủ của Apple và gọi lại để xác minh.
Bảo mật tài khoản nằm trong chính tay bạn. Đừng bao giờ vội vàng tin tưởng và làm theo yêuKêu của người lạ qua điện thoại, dù họ có vẻ cấp bách hay đáng tin cậy đến đâu.
