Một chiến dịch tấn công lừa đảo qua tin nhắn (smishing) mới đang nhắm mục tiêu đặc biệt vào người dùng iMessage của Apple tại Việt Nam, sử dụng các chiêu trò tinh vi để vô hiệu hóa tính năng bảo vệ chống lừa đảo tích hợp sẵn. Cuộc tấn công này có nguy cơ phơi bày hàng triệu người dùng trước các rủi ro đáng kể. Tuy nhiên, bạn hoàn toàn có thể tự bảo vệ mình chỉ bằng một thay đổi nhỏ trong thói quen sử dụng, tránh trở thành nạn nhân của những kẻ lừa đảo chuyên nghiệp.
Chiêu Thức Smishing Vô Hiệu Hóa Bảo Mật iMessage Diễn Ra Như Thế Nào?
Apple đã tích hợp một lớp bảo mật quan trọng vào iMessage: hệ thống tự động chặn các liên kết độc hại nếu tin nhắn đến từ một người gửi không xác định. Mục đích của tính năng này là bảo vệ người dùng khỏi việc vô tình nhấp vào các đường dẫn chứa mã độc hoặc dẫn đến trang web lừa đảo. Tuy nhiên, các tội phạm mạng đã tìm ra một “lỗ hổng” tâm lý để vượt qua hàng rào bảo vệ này bằng cách lừa người dùng tự tay tắt nó.
Kẻ tấn công sẽ gửi các tin nhắn cảnh báo giả mạo, yêu cầu người dùng iMessage phải trả lời. Những tin nhắn này thường đội lốt các thông báo quen thuộc như:
- Thông báo giao hàng giả mạo: Cho biết bạn có một gói hàng đang chờ xử lý và yêu cầu xác nhận.
- Tin nhắn về phí cầu đường chưa thanh toán: Đòi hỏi bạn phải giải quyết một khoản phí để tránh bị phạt.
Nội dung tin nhắn sẽ yêu cầu bạn trả lời bằng “Y” (có) hoặc “N” (không) để chấp nhận hoặc từ chối gói hàng/phí. Việc bạn trả lời, dù là “Y” hay “N”, sẽ khiến iMessage nhận định rằng số điện thoại gửi tin nhắn là một số “đã biết” hoặc “quen thuộc” với bạn. Ngay lập tức, tính năng chặn liên kết sẽ bị vô hiệu hóa, cho phép các đường dẫn độc hại trong tin nhắn trở nên “kích hoạt” và dễ dàng truy cập.
Bleeping Computer đã báo cáo rằng các tin nhắn này còn bao gồm hướng dẫn chi tiết: “Thoát khỏi tin nhắn, mở lại liên kết kích hoạt trong tin nhắn, hoặc sao chép liên kết vào trình duyệt Safari” để nhận trạng thái giao hàng mới nhất hoặc thanh toán phí. Khi người dùng làm theo, liên kết này sẽ dẫn họ đến một trang web lừa đảo (phishing site) được thiết kế tinh vi để trông giống như trang chính thức của một công ty giao hàng hay cơ quan thu phí. Tại đây, thông tin cá nhân và tài chính của họ sẽ bị đánh cắp, sau đó được sử dụng cho các mục đích bất chính như đánh cắp danh tính, gian lận thẻ tín dụng, hoặc các cuộc tấn công mạng khác.
Ví dụ tin nhắn lừa đảo smishing trên iMessage theo cảnh báo từ Bleeping Computer
Vì người dùng đã quen với việc trả lời “STOP”, “YES” hoặc “NO” để xác nhận hoặc hủy các cuộc hẹn, thông báo hợp pháp qua tin nhắn, kẻ tấn công đã lợi dụng thói quen này để khiến nạn nhân nghĩ rằng việc trả lời là vô hại. Ngay cả khi bạn không nhấp vào liên kết, việc trả lời đã “báo hiệu” cho kẻ tấn công rằng bạn là người dễ phản hồi các tin nhắn smishing, khiến bạn trở thành mục tiêu tiềm năng cho các cuộc tấn công lừa đảo trong tương lai.
Cách Tự Bảo Vệ Bản Thân Khỏi Smishing iMessage
Để bảo vệ mình khỏi chiêu trò smishing tinh vi này và duy trì an toàn cho iMessage trên iPhone, hãy tuân thủ các nguyên tắc sau:
- Không trả lời tin nhắn từ số lạ: Đây là nguyên tắc quan trọng nhất. Tuyệt đối không phản hồi bất kỳ tin nhắn nào đến từ số lạ mà bạn không nhận ra, đặc biệt là nếu tin nhắn đó yêu cầu bạn xác nhận thông tin về một gói hàng không mong đợi hoặc một khoản phí mà bạn không hề hay biết. Việc trả lời sẽ vô hiệu hóa lớp bảo vệ tích hợp của Apple.
- Coi mọi liên kết từ nguồn không xác định là độc hại: Luôn luôn coi các liên kết được gửi từ những người gửi không rõ ràng hoặc không đáng tin cậy là có ý đồ xấu. Tuyệt đối không nhấp vào chúng.
- Xác minh thông tin qua kênh chính thức: Nếu bạn nghi ngờ mình có một gói hàng đang chờ hoặc một khoản phí cần thanh toán, đừng sử dụng liên kết trong tin nhắn. Thay vào đó, hãy đóng ứng dụng iMessage và truy cập trang web chính thức của công ty hoặc dịch vụ đó thông qua trình duyệt web của bạn. Bạn có thể đăng nhập vào tài khoản của mình qua website hoặc ứng dụng chính thức, hoặc liên hệ trực tiếp bộ phận chăm sóc khách hàng để xác minh thông tin.
- Cảnh giác với các chiêu trò gây áp lực tâm lý: Hãy cảnh giác với những tin nhắn ép buộc bạn phải hành động “ngay lập tức”, đưa ra “ưu đãi có thời hạn”, hoặc đe dọa với những hậu quả tiêu cực nếu bạn không phản hồi ngay lập tức. Hầu hết các vụ lừa đảo đều được thiết kế để khiến bạn hành động trước khi kịp suy nghĩ, từ đó dễ dàng trao thông tin cho kẻ gian.
Bạn Cần Làm Gì Nếu Đã Trả Lời Tin Nhắn Lừa Đảo?
Nếu bạn đã lỡ trả lời tin nhắn hoặc làm theo hướng dẫn của kẻ tấn công trước khi nhận ra đó là một vụ lừa đảo, vẫn có những bước bạn có thể thực hiện để giảm thiểu thiệt hại:
- Chặn số điện thoại: Ngay lập tức chặn số điện thoại của kẻ gửi để ngăn chặn chúng tiếp tục gửi tin nhắn quấy rối hoặc lừa đảo bạn.
- Thay đổi mật khẩu và bật xác thực đa yếu tố (MFA): Hãy thay đổi mật khẩu của tất cả các tài khoản trực tuyến quan trọng của bạn (email, ngân hàng, mạng xã hội, các dịch vụ mua sắm). Đồng thời, hãy kích hoạt xác thực đa yếu tố (MFA) cho mọi tài khoản hỗ trợ tính năng này. MFA bổ sung một lớp bảo mật, khiến kẻ gian khó truy cập tài khoản của bạn ngay cả khi chúng có được mật khẩu.
- Liên hệ ngân hàng/tổ chức tài chính: Nếu bạn đã cung cấp bất kỳ thông tin tài chính nào (số thẻ tín dụng, thông tin tài khoản ngân hàng), hãy gọi ngay cho ngân hàng của bạn. Họ có thể đóng băng tài khoản, hủy thẻ tín dụng hiện tại và phát hành thẻ mới để ngăn chặn các giao dịch gian lận.
- Đóng băng tín dụng (nếu có PII bị lộ): Nếu bạn đã cung cấp thông tin nhận dạng cá nhân (PII) như tên đầy đủ, ngày sinh, số CMND/CCCD, địa chỉ mà có thể bị lợi dụng để đánh cắp danh tính, hãy liên hệ với các tổ chức tín dụng (như TransUnion, Equifax, Experian nếu ở nước ngoài, hoặc các cơ quan tín dụng tương tự tại Việt Nam nếu có) để đóng băng tín dụng của bạn. Điều này sẽ ngăn chặn kẻ gian sử dụng thông tin của bạn để vay tiền hoặc mở thẻ tín dụng mới dưới tên bạn.
- Theo dõi sao kê và cân nhắc dịch vụ bảo vệ danh tính: Thường xuyên kiểm tra sao kê thẻ tín dụng và tài khoản ngân hàng để phát hiện bất kỳ giao dịch đáng ngờ nào. Bạn cũng có thể cân nhắc sử dụng các dịch vụ bảo vệ danh tính, bao gồm theo dõi tín dụng và PII. Các dịch vụ nâng cao còn có thể theo dõi mạng xã hội để phát hiện các hồ sơ giả mạo dưới tên bạn và hỗ trợ phục hồi dữ liệu bị đánh cắp hoặc quy trình khôi phục danh tính.
- Cập nhật phần mềm thiết bị: Đảm bảo rằng thiết bị của bạn luôn được cập nhật phần mềm hoặc bản vá bảo mật mới nhất ngay khi chúng có sẵn. Các bản cập nhật này thường khắc phục các lỗ hổng bảo mật và giúp ngăn chặn các cuộc tấn công trong tương lai.
Hãy luôn giữ vững tinh thần cảnh giác để bảo vệ thông tin cá nhân và tài chính của bạn trước những mối đe dọa an ninh mạng ngày càng tinh vi. Nếu có bất kỳ câu hỏi hoặc kinh nghiệm nào về smishing iMessage, đừng ngần ngại chia sẻ ý kiến của bạn bên dưới!
