Các chiến dịch smishing (lừa đảo qua tin nhắn SMS) đang ngày càng trở nên phức tạp, và mục tiêu mới nhất của chúng là người dùng Apple iMessage. Kẻ gian đã tìm ra một phương thức tinh vi để vô hiệu hóa tính năng bảo vệ chống lừa đảo tích hợp sẵn của dịch vụ nhắn tin này, gây ra mối đe dọa tiềm ẩn cho hàng triệu người dùng. Tuy nhiên, việc hiểu rõ chiêu thức này và thực hiện một thay đổi nhỏ trong thói quen sử dụng có thể giúp bạn tự bảo vệ mình khỏi nguy cơ bị đánh cắp thông tin cá nhân và tài chính.
Chiêu thức lừa đảo tinh vi vô hiệu hóa bảo mật iMessage
Apple trang bị cho iMessage tính năng bảo mật mạnh mẽ, tự động chặn các liên kết độc hại được gửi từ những số điện thoại không có trong danh bạ của bạn. Đây là một lớp bảo vệ quan trọng nhằm ngăn chặn người dùng truy cập vào các trang web lừa đảo. Thế nhưng, các tội phạm mạng đã khai thác một lỗ hổng tâm lý và kỹ thuật để qua mặt tính năng này, bằng cách lừa bạn tự tay tắt đi lớp phòng vệ đó.
Kẻ tấn công gửi các tin nhắn giả mạo yêu cầu người dùng iMessage phải phản hồi. Những tin nhắn này thường đội lốt thông báo giao hàng giả mạo hoặc tin nhắn phạt nguội/phí cầu đường chưa thanh toán. Nội dung tin nhắn sẽ yêu cầu người dùng trả lời bằng “Y” (có) hoặc “N” (không) để xác nhận hoặc từ chối dịch vụ/giao hàng. Việc bạn trả lời những tin nhắn này, dù chỉ là một ký tự, sẽ khiến iMessage nhận định rằng số điện thoại gửi tin là “đã biết”, từ đó vô hiệu hóa tính năng chặn liên kết độc hại.
Theo báo cáo từ Bleeping Computer, tin nhắn lừa đảo này thường kèm theo hướng dẫn “Thoát tin nhắn, mở lại liên kết kích hoạt tin nhắn, hoặc sao chép liên kết vào trình duyệt Safari” để kiểm tra trạng thái giao hàng hoặc thanh toán phí. Liên kết được cung cấp sẽ dẫn người dùng đến một trang web giả mạo (phishing site) được thiết kế để đánh cắp thông tin cá nhân và tài chính của họ. Những thông tin này sau đó sẽ được sử dụng cho mục đích trộm cắp danh tính, lừa đảo thẻ tín dụng hoặc các hình thức tấn công mạng khác.
Các ví dụ tin nhắn smishing lừa đảo qua iMessage theo báo cáo của Bleeping Computer
Vì hầu hết mọi người đã quen với việc trả lời “STOP”, “YES” hoặc “NO” để xác nhận hoặc hủy các cuộc hẹn, thông báo hợp pháp qua tin nhắn, kẻ tấn công đã lợi dụng thói quen này để khiến người dùng nghĩ rằng việc trả lời là vô hại. Ngay cả khi bạn không nhấp vào liên kết, việc trả lời đã cho kẻ tấn công biết rằng bạn là người dễ tương tác với tin nhắn lừa đảo, biến bạn thành mục tiêu tiềm năng cho các cuộc tấn công trong tương lai.
Cách tự bảo vệ khỏi tấn công Smishing iMessage
Để bảo vệ bản thân khỏi mối đe dọa smishing iMessage này, hãy luôn tuân thủ các nguyên tắc sau:
- Tuyệt đối không trả lời tin nhắn từ số lạ: Đây là nguyên tắc quan trọng nhất. Việc trả lời sẽ vô hiệu hóa tính năng bảo vệ tích hợp của Apple. Đặc biệt cảnh giác nếu bạn nhận được tin nhắn về một gói hàng không mong đợi hoặc một khoản phí/phạt mà bạn không biết.
- Luôn coi liên kết từ nguồn không xác định là độc hại: Không bao giờ nhấp vào các liên kết được gửi bởi những số lạ hoặc từ những nguồn không đáng tin cậy.
- Xác minh thông tin qua kênh chính thức: Nếu bạn nghi ngờ về một gói hàng hay một khoản phí cần thanh toán, hãy đóng iMessage và truy cập trực tiếp trang web chính thức của công ty đó thông qua trình duyệt của bạn (không dùng liên kết từ tin nhắn). Liên hệ với bộ phận chăm sóc khách hàng của họ hoặc đăng nhập vào tài khoản của bạn thông qua ứng dụng hoặc website chính thức để xác minh thông tin.
- Cảnh giác với các dấu hiệu lừa đảo: Hãy đề phòng các tin nhắn gây áp lực bạn phải hành động “ngay lập tức”, đưa ra “ưu đãi có thời hạn”, hoặc đe dọa bằng những hậu quả tiêu cực nếu bạn không phản hồi ngay. Hầu hết các vụ lừa đảo phishing đều được thiết kế để khiến bạn hành động trước khi kịp suy nghĩ, từ đó giao nộp thông tin mà không nhận ra mình đã bị lừa.
Phải làm gì nếu đã lỡ tương tác với tin nhắn lừa đảo?
Nếu bạn đã lỡ trả lời tin nhắn hoặc làm theo hướng dẫn của kẻ tấn công trước khi nhận ra đó là một vụ lừa đảo, vẫn có những biện pháp bạn có thể thực hiện để giảm thiểu thiệt hại:
- Chặn số điện thoại ngay lập tức: Ngăn chặn kẻ lừa đảo gửi thêm tin nhắn cho bạn.
- Thay đổi mật khẩu và bật xác thực đa yếu tố (MFA): Đổi ngay mật khẩu của tất cả các tài khoản quan trọng (email, ngân hàng, mạng xã hội, Apple ID, v.v.). Sau đó, kích hoạt xác thực đa yếu tố (MFA) cho mọi tài khoản có hỗ trợ. MFA bổ sung một lớp bảo mật, khiến kẻ gian khó truy cập tài khoản của bạn ngay cả khi chúng có mật khẩu.
- Liên hệ ngân hàng ngay lập tức: Nếu bạn đã cung cấp thông tin tài chính (số tài khoản, thông tin thẻ tín dụng), hãy gọi điện cho ngân hàng của bạn ngay lập tức. Ngân hàng có thể đóng băng tài khoản, hủy thẻ tín dụng và cấp thẻ mới cho bạn.
- Đóng băng tín dụng: Nếu bạn đã tiết lộ thông tin nhận dạng cá nhân (PII) có thể dùng để đánh cắp danh tính, hãy liên hệ với các công ty báo cáo tín dụng như TransUnion, Equifax và Experian để đóng băng tín dụng của bạn. Việc này ngăn chặn kẻ lừa đảo sử dụng thông tin của bạn để vay tiền hoặc đăng ký thẻ tín dụng mới dưới tên bạn.
- Theo dõi chặt chẽ tài khoản: Giám sát các giao dịch đáng ngờ trên sao kê thẻ tín dụng và tài khoản ngân hàng của bạn. Bạn cũng có thể cân nhắc sử dụng các dịch vụ bảo vệ danh tính, bao gồm theo dõi tín dụng và PII. Các dịch vụ nâng cao thậm chí còn có tính năng giám sát mạng xã hội để phát hiện các hồ sơ giả mạo hoặc hỗ trợ khôi phục dữ liệu bị đánh cắp.
- Cập nhật phần mềm thiết bị: Luôn đảm bảo tải xuống các bản cập nhật hoặc bản vá phần mềm mới nhất cho thiết bị của bạn ngay khi chúng có sẵn. Những bản cập nhật này thường bao gồm các bản vá lỗi bảo mật quan trọng, giúp khắc phục lỗ hổng và chống lại các cuộc tấn công trong tương lai.
Kết luận
Chiến dịch lừa đảo smishing nhắm vào iMessage cho thấy mức độ tinh vi của tội phạm mạng ngày càng tăng. Chúng lợi dụng thói quen và tâm lý của người dùng để vô hiệu hóa các biện pháp bảo mật tích hợp. Để bảo vệ dữ liệu cá nhân và tài chính, điều cốt lõi là luôn giữ thái độ cảnh giác cao độ với mọi tin nhắn từ người lạ, không tương tác bừa bãi và luôn xác minh thông tin qua các kênh chính thức đáng tin cậy. Hãy biến những kiến thức này thành thói quen bảo mật hàng ngày của bạn trên không gian mạng để bảo vệ bản thân và cộng đồng.
