Cảnh báo hình thức lừa đảo mật khẩu iCloud ngay cả người dùng cẩn thận nhất cũng không nhận ra
Các chuyên gia vừa đưa ra cảnh báo về chiêu thức tấn công lừa đảo người dùng iPhone và iPad mới. Hình thức tấn công mới này sẽ lừa người dùng cung cấp mật khẩu iCloud của họ. Điều đáng nói là với thủ thuật này, người dùng iPhone khó mà phân biệt đâu là thật đâu là giả.
Dưới đây là hình ảnh so sánh giữa giao diện thật và giao diện giả. Hãy thử tìm điểm khác nhau giữa hai hình sau.
Khó quá phải không? Hẳn bạn cũng đồng ý là cả hai hình chụp màn hình đều gần như y hệt, nhưng màn hình thứ hai chính là giả - một hình thức tấn công lừa đảo hoàn hảo được hacker sử dụng để đánh lừa ngay cả người dùng cẩn thận nhất.
Theo Felix Krause, một nhà phát triển iOS và là nhà sáng lập ra Fastlane.Tools, đã chứng minh được rằng hầu như không có cách nào để phát hiện loại hình tấn công lừa đảo này để giải thích cách mà một ứng dụng iOS độc hại có thể đánh cắp mật khẩu người dùng Apple ID để truy cập vào tài khoản iCloud cũng như những dữ liệu quan trọng trong đó.
Theo một bài blog cảnh báo từ Krause, một ứng dụng iOS có thể chỉ cần dùng “UIAlertController” để hiển thị các hộp hội thoại cảnh báo người dùng, với giao diện giống hệt giao diện hệ thống của hệ điều hành Apple.
Với giao diện y hệt Apple, hacker sẽ dễ dàng thuyết phục người dùng rằng họ đang cung cấp mật khẩu Apple ID cho hacker mà không hề có bất kỳ nghi ngờ nào.
Bên cạnh đó, việc iOS thường xuyên yêu cầu người dùng cung cấp mật khẩu iTunes trong nhiều tình huống, chẳng hạn như cập nhật hệ điều hành iOS hoặc cài đặt các ứng dụng iOS. Do đó, người dùng iPhone cũng đã có thói quen điền mật khẩu Apple ID bất cứ khi nào iOS yêu cầu.
Không những vậy, những cửa sổ pop up này không chỉ hiển thị trên màn hình khóa, màn hình chờ, mà còn trong các ứng dụng ngẫu nhiên…khi người dùng cần phải truy cập tài khoản iCloud, Game Center hay thanh toán các dịch vụ bên trong ứng dụng.
Thêm vào đó, các nhà phát triển ứng dụng hoàn toàn có thể thiết lập một cảnh báo giả mà không cần biết email của người dùng, bởi chính Apple cũng thỉnh thoảng làm điều này như chính hai hình chụp màn hình dưới đây.
Mặc dù không có bất kỳ chứng cứ nào cho biết những kẻ tấn công có thể khai thác chiêu thức lừa gạt này, nhưng Krause cho rằng chiêu thức tấn công này hoàn toàn có thể cho phép bất kỳ ứng dụng độc hại nào đánh cắp mật khẩu Apple ID người dùng.
Do đó, vì lý do bảo mật, các nhà phát triển quyết định không thêm vào mã nguồn cho thông báo pop up này khi giải thích về vụ tấn công.
Vậy làm sao để có thể phòng tránh chiêu thức tấn công lừa đảo tinh vi này?
Để bảo vệ bản thân khỏi chiêu thức tấn công tinh vi chuyên nghiệp này, Krause gợi ý người dùng nên nhấn nút “Home” khi thấy bản thông báo yêu cầu điền mật khẩu có vẻ khả nghi. Nếu khi nhấn nút Home, cả ứng dụng và cả hộp thông báo pop up đều tắt, vậy đó chính là thông báo giả mạo. Nếu bản thông báo vẫn còn, thì đó chính là thông báo pop up chính thức từ Apple. Krause giải thích rằng đây là do thông báo hệ thống chạy nền tác vụ khác, không phải là một phần của bất kỳ ứng dụng iOS nào khác.
Người dùng nên tránh điền thông tin đăng nhập ở bất kỳ thông báo pop up nào hiện ra, thay vào đó hãy mở ứng dụng Setting và điền thông tin đăng nhập ngay tại đó. Cũng như là không nên nhấp bất kỳ link nào được gửi qua email, thay vào đó hãy điền trực tiếp địa chỉ trang web ngay trên thanh địa chỉ. Hình thức này sẽ giảm thiểu các nguy cơ nhấp phải đường link độc hại giả mạo.
Ngoài ra, luôn sử dụng hình thức xác minh 2 bước (2 yếu tố) cũng là một cách thức tuyệt vời để giảm thiểu thiệt hại nếu lỡ như hacker có đánh cắp được mật khẩu của người dùng đi nữa, hắn vẫn sẽ gặp khó khăn ở bước xác nhận OTP mà người dùng sẽ nhận qua điện thoại.
Ngày nay, các chiêu thức tấn công an ninh mạng ngày càng tinh vi và chuyên nghiệp hơn. Do đó, việc thường xuyên tìm hiểu, cập nhật các thông tin về bảo mật an ninh mạng mới nhất là hết sức cần thiết. Hãy là một người dùng thông minh.
Minh Hương
TIN CÙNG CHUYÊN MỤC
Liệu công cụ kiểm tra nội dung AI có đán...
Công cụ AI tạo sinh được bổ sung thêm tr...
Máy tính liên tục khởi động lại vì bản c...
Lỗ hổng ChatGPT macOS có thể kích hoạt p...
Phát hiện lỗi lạ gây ra hiệu suất thiếu ...
Mozilla đối mặt với khiếu nại về quyền...
- Back to school – KASPERSKY TẶNG BẠN VOUCHER GRAB T...
- Lỗ hổng ChatGPT macOS có thể kích hoạt phần mềm gi...
- Phát hiện lỗi lạ gây ra hiệu suất thiếu ổn định tr...
- Mozilla đối mặt với khiếu nại về quyền riêng tư ...
- Công cụ AI tạo sinh được bổ sung thêm trên Microso...
- Liệu công cụ kiểm tra nội dung AI có đáng tin khôn...
- Hướng dẫn cài đặt Kaspersky For Android với Kasper...
- Hướng dẫn cài đặt Kaspersky Safe Kids For Android ...
- Tại sao không tìm thấy các sản phẩm của Kaspersky ...
- Liệu công cụ kiểm tra nội dung AI có đáng tin khôn...
- Công cụ AI tạo sinh được bổ sung thêm trên Microso...
- Máy tính liên tục khởi động lại vì bản cập nhật Wi...