Đừng tin vào mọi Thông Báo Hệ Thống bạn nhìn thấy - Chiêu lừa đảo mới khiến cả chuyên gia cũng suýt sập bẫy

Bạn nhận được một thông báo yêu cầu "Đặt lại mật khẩu" hoặc "Xác nhận đăng nhập" hiện lên ngay giữa màn hình điện thoại? Đừng vội nhấn "Đồng ý". Hacker đang sử dụng chiêu thức giả mạo thông báo hệ thống (System Notification Spoofing) để lừa người dùng tự tay mở cửa cho chúng vào nhà.

Khi sự "chính chủ" trở thành vũ khí của Hacker

Chúng ta được dạy rằng phải cảnh giác với các đường link lạ hay file đính kèm trong email. Nhưng khi một thông báo hiện lên từ chính hệ điều hành (iOS, Android) hoặc từ ứng dụng ngân hàng với nội dung: "Ai đó đang cố gắng đăng nhập tài khoản Apple ID của bạn" hoặc "Yêu cầu đặt lại mật khẩu", phản xạ đầu tiên của chúng ta là hoảng sợ và tin tưởng.

Một vụ việc gần đây được chia sẻ trên MakeUseOf đã chứng minh: Không gì là an toàn tuyệt đối.

Kẻ tấn công đã sử dụng một kỹ thuật gọi là "MFA Fatigue" (Dội bom xác thực) hoặc "Notification Spoofing" (Giả mạo thông báo).

1. Dội bom: Hacker spam liên tục hàng chục, thậm chí hàng trăm thông báo yêu cầu xác thực về điện thoại của nạn nhân vào lúc nửa đêm.

2. Tâm lý mệt mỏi: Nạn nhân vì quá buồn ngủ, hoặc vì muốn tắt thông báo đi cho rảnh nợ, đã vô tình nhấn vào nút "Allow" (Cho phép) hoặc "Yes".

3. Cuộc gọi giả danh: Ngay sau đó, hacker gọi điện, giả danh là nhân viên hỗ trợ của Apple/Google/Ngân hàng, đọc vanh vách các thông tin cá nhân của bạn (đã thu thập trước đó) để yêu cầu bạn cung cấp mã OTP cuối cùng nhằm "ngăn chặn vụ tấn công". Thực tế, đó là mã để chúng đổi mật khẩu của bạn.

Điều đáng sợ là thông báo hiện lên trông y hệt thông báo thật của hệ thống. Nó khai thác lòng tin của chúng ta vào thiết bị mình đang cầm trên tay.

Tại sao điều này lại nguy hiểm?

• Vượt qua rào cản kỹ thuật: Hacker không cần phá mã hệ thống, chúng "hack" vào tâm lý con người.

• Thao túng nỗi sợ: Thông báo thường đi kèm nội dung khẩn cấp như "Tài khoản bị xâm nhập", khiến nạn nhân mất bình tĩnh.

• Các thông báo này lợi dụng hạ tầng thông báo chính thức (Push Notification) nên rất khó bị chặn bởi các phần mềm diệt virus thông thường.

Lời khuyên của chuyên gia: "Chậm lại một giây, an toàn cả đời"

Để không trở thành nạn nhân của chiêu trò tinh vi này, hãy ghi nhớ các nguyên tắc vàng sau:

1. Nguyên tắc "Tôi không làm thì tôi không nhận": Nếu bạn nhận được thông báo yêu cầu xác thực đăng nhập, mã OTP, hay đặt lại mật khẩu mà bạn không hề thực hiện thao tác đó, hãy mặc định đó là tấn công. Nhấn "Từ chối" (Deny/Don't Allow) ngay lập tức.

2. Tuyệt đối không nhấn "Chấp nhận" chỉ để tắt thông báo: Nếu điện thoại bị "dội bom" thông báo liên tục, hãy bình tĩnh. Đừng vì muốn tắt máy đi ngủ mà bấm "Đồng ý" cho xong. Hãy tắt nguồn điện thoại hoặc ngắt kết nối mạng (Bật chế độ máy bay) để cắt đứt liên lạc của hacker.

3. Cảnh giác với cuộc gọi "Hỗ trợ kỹ thuật": Apple, Google, Microsoft hay Ngân hàng không bao giờ gọi điện cho bạn để yêu cầu bạn đọc mã OTP hoặc bấm nút xác thực trên điện thoại. Nếu ai đó gọi đến và yêu cầu điều này, hãy cúp máy ngay.

4. Kiểm tra chéo: Thay vì bấm vào thông báo, hãy tự mình truy cập vào trang web chính thức của dịch vụ đó (bằng trình duyệt) để kiểm tra trạng thái tài khoản và đổi mật khẩu nếu cần.