Thậm chí, sau khi người dùng kiên nhẫn từ chối lần lượt hàng trăm thông báo, kẻ tấn công sẽ mạo danh nhân viên hỗ trợ của Apple, thực hiện cuộc gọi với ý đồ lừa đảo.
Dội bom thông báo, mạo danh Apple
Parth Patel là một doanh nhân đang cố gắng tạo dựng một công ty khởi nghiệp trong lĩnh vực AI đàm thoại. Vào ngày 23/3, ông cảnh báo trên Twitter/X một chiến dịch lừa đảo nhắm vào mình trong thời gian gần đây.
Cụ thể, tin tặc khai thác một tính năng hoặc điểm yếu của hệ thống xác thực đa yếu tố (MFA), gửi đến thiết bị của mục tiêu các cảnh báo, yêu cầu phê duyệt việc thay đổi mật khẩu hoặc đăng nhập.
“Tất cả thiết bị của tôi bắt đầu nổ tung, đồng hồ, laptop và điện thoại. Giống như đó là thông báo hệ thống của Apple, yêu cầu phê duyệt (đặt lại mật khẩu tài khoản), nhưng tôi không thể làm gì khác với điện thoại. Tôi phải xem qua và từ chối hơn 100 thông báo dạng này”, Patel nói với KrebsOnSecurity.
Những đợt tấn công theo kiểu "làm lụt" thông báo như vậy cuối cùng dẫn đến việc một số người nhấn vào tuỳ chọn “Cho phép” để tắt lời nhắc và sử dụng được các chức năng khác của iPhone. Ngoài ra, nếu họ dùng Apple Watch thì cũng gặp tình trạng tương tự.
Chưa dừng lại ở đó, những kẻ tấn công còn manh động hơn khi mạo danh cuộc gọi từ bộ phận hỗ trợ khách hàng. Theo Patel, sau khi từ chối hàng trăm thông báo đặt lại mật khẩu, ông nhận được một cuộc gọi đến iPhone, tự xưng là nhân viên hỗ trợ của Apple.
“Tôi nhấc điện thoại lên và rất nghi ngờ. Vì vậy, tôi hỏi liệu họ có thể xác minh một số thông tin về tôi không. Sau khi buông ra những lời lẽ khó nghe, người này cung cấp tất cả thông tin về tôi và gần như hoàn toàn chính xác”, Patel kể lại. Tất cả đều đúng, ngoại trừ tên thật của Patel.
Mục tiêu của những kẻ lừa đảo là chiếm mã đặt lại Apple ID gửi đến thiết bị. Đây là một tin nhắn văn bản bao gồm mật khẩu một lần. Nếu người dùng cung cấp mã đó, kẻ tấn công có thể đặt lại mật khẩu, chiếm tài khoản. Sau đó, chúng có thể xóa từ xa tất cả các thiết bị Apple của người dùng.
Mua iPhone mới, thay Apple ID vẫn không thoát
Một nạn nhân của kịch bản tấn công tương tự đã đổi iPhone, dùng Apple ID mới nhưng vẫn bị tin tặc nhắm vào. Điều này đặt nghi vấn tội phạm nắm được cả số điện thoại của nạn nhân.
Chia sẻ với KrebsOnSecurity, Chris - sở hữu một quỹ đầu tư tiền mã hoá – cho biết vừa trải qua một đợt tấn công nhằm vào iPhone hồi tháng 2.
“Khi nhận được cảnh báo đầu tiên, tôi nhấn vào nút ‘Không cho phép’ nhưng sau đó xuất hiện thêm khoảng 30 thông báo liên tiếp. Tôi nghĩ có thể mình đã nhấn nhầm nút nào đó nên dẫn đến tình trạng kỳ lạ này”, Chris cho biết, đồng thời yêu cầu không tiết lộ thêm thông tin cá nhân vì sợ tiếp tục trở thành mục tiêu của tội phạm.
Tin tặc tiếp tục dội bom thông báo đến thiết bị của Chris trong những ngày sau đó. Kế tiếp chúng gọi đến iPhone nạn nhân, tự xưng là nhân viên hỗ trợ của Apple.
“Tôi nói sẽ gọi lại sau và cúp máy. Khi tôi liên hệ với Apple để hỏi về việc có ai vừa gọi điện hỗ trợ không, công ty khẳng định không bao giờ thực hiện cuộc gọi tới khách hàng, trừ khi khách yêu cầu”, Chris kể.
Quá lo lắng về việc ai đó đang cố gắng tấn công minh, Chris đổi mật khẩu tài khoản hiện tại, sau đó đến Apple Store mua một chiếc iPhone hoàn toàn mới. Ông cũng tạo một tài khoản Apple AI khác bằng một địa chỉ email mới.
Chris nghi ngờ những kẻ đứng sau phương thức tấn công bằng hệ thống cảnh báo của Apple đã có được số điện thoại của ông. Đây là thông tin duy nhất không thay đổi sau khi người này thay toàn bộ thiết bị và tài khoản.
Giải pháp tạm thời của Apple
Một nạn nhân khác của kịch bản tấn công này có biệt danh là Kent, từng làm việc trong lĩnh vực an ninh mạng. Các thiết bị của ông cũng rơi vào tình trạng tràn ngập thông báo yêu cầu phê duyệt đặt lại mật khẩu tài khoản, kể cả trên chiếc Apple Watch trong chế độ im lặng.
“Sự việc xảy ra với tôi vào lúc 12h30 sáng. Dù Apple Watch đặt chế độ im lặng trong thời gian ngủ, nó vẫn đánh thức tôi bằng những thông báo này. May mắn là tôi không nhấn vào nút ‘Cho phép’ khi nhìn thấy”, Kent cho biết.
Lo lắng về việc có thể nhấn nhầm khi đang ngủ, khiến tội phạm chiếm đoạt tài khoản của mình, Kent liên hệ với bộ phận hỗ trợ của Apple và yêu cầu được chuyển đến một chuyên gia cao cấp.
Người này khuyến cáo nạn nhân bật chức năng Apple Recovery Key cho tài khoản của mình, sẽ tránh khỏi các thông báo như vậy.
Theo giới thiệu của Apple, Recovery Key là một tính năng bảo mật tùy chọn giúp cải thiện an toàn cho tài khoản Apple ID. Đó là mã gồm 28 ký tự được tạo ngẫu nhiên. Khi người dùng bật khóa khôi phục, nó sẽ vô hiệu hóa quy trình khôi phục tài khoản thông thường.
Vấn đề là, việc kích hoạt tính năng này không đơn giản và nếu bạn làm mất mã đó cũng như tất cả các thiết bị Apple của mình, bạn sẽ bị khóa vĩnh viễn.
Ken đã kích hoạt Recovery Key cho tài khoản của mình theo hướng dẫn nhưng các thông báo tương tự vẫn thỉnh thoảng xuất hiện trên thiết bị.
KrebsOnSecurity thử bật tính năng Apple Recovery Key và xác nhận việc này không thể ngăn lời nhắc đặt lại mật khẩu gửi đến các thiết bị Apple. Khi truy cập trang web hỗ trợ khôi phục mật khẩu của Apple, người dùng sẽ nhận được yêu cầu nhập địa chỉ email và CAPTCHA.
Sau đó, trang sẽ hiển thị 2 chữ số cuối của số điện thoại liên kết với tài khoản Apple. Việc điền các chữ số còn thiếu và nhấn Submit trên biểu mẫu đó sẽ gửi cảnh báo hệ thống cho dù người dùng dù họ có bật Apple Recovery Key hay không.
Hiện tại Apple vẫn chưa có phản hồi chính thức nào về tình huống tấn công này.
(Theo KrebsOnSecurity)