WuKong_top1
Writer
Một chiêu lừa đảo mới đang nhắm vào người dùng iPhone, Apple Pay với kịch bản khá tinh vi là gửi email giả mạo hóa đơn Apple Pay, sau đó dẫn dụ nạn nhân gọi vào “tổng đài Apple giả” để chiếm quyền Apple ID và đánh cắp thông tin thanh toán.
Email được làm rất giống thật: Có logo Apple, mã vụ việc (Case ID), thời gian giao dịch và nội dung gây hoảng sợ như: Apple vừa chặn một giao dịch giá trị lớn trên Apple Pay của bạn. Trong thư có sẵn số điện thoại, yêu cầu người dùng gọi gấp để “xác minh gian lận”.
Email được làm rất giống thật: Có logo Apple, mã vụ việc (Case ID), thời gian giao dịch và nội dung gây hoảng sợ như: Apple vừa chặn một giao dịch giá trị lớn trên Apple Pay của bạn. Trong thư có sẵn số điện thoại, yêu cầu người dùng gọi gấp để “xác minh gian lận”.
Khi gọi vào số này, nạn nhân sẽ gặp kẻ mạo danh nhân viên Apple. Chúng nói chuyện rất chuyên nghiệp, hỏi vài thông tin cơ bản như tên, đang dùng iPhone hay MacBook… để tạo cảm giác đáng tin rồi bịa ra kịch bản “có người đang dùng Apple Pay của bạn ở cửa hàng”.
Bước nguy hiểm nhất là xin mã OTP - mã xác thực 2 lớp. Kẻ gian cố tình thử đăng nhập Apple ID thật của nạn nhân, khiến Apple gửi mã OTP về SMS. Chúng yêu cầu nạn nhân đọc mã với lý do xác minh danh tính. Nếu không may bị lộ mã này, tài khoản Apple có thể bị chiếm, thẻ thanh toán và dữ liệu cá nhân bị xâm phạm.
Các nhà nghiên cứu an ninh mạng ghi nhận nhiều biến thể của chiêu lừa này, từ hóa đơn giả mua thẻ quà tặng Apple trị giá vài trăm đô la đến biên lai mua MacBook hơn 1.000 đô la (khoảng 24,5 triệu đồng). Điểm chung là đều đánh vào tâm lý “mất tiền lớn” để nạn nhân hoảng sợ và làm theo hướng dẫn trong email.
Đây là một kiểu tấn công lừa đảo (Phishing Attack) - Ảnh: MalwareBytes
Theo chuyên gia WhiteHat, đây là mô hình lừa đảo đa kênh: Kẻ gian gửi email giả mạo để dẫn dụ nạn nhân gọi điện, sau đó khai thác mã OTP nhằm chiếm quyền Apple ID. Nhiều người lầm tưởng bật xác thực 2 lớp (2FA) là đủ an toàn, nhưng trên thực tế, 2FA vẫn có thể bị vô hiệu nếu người dùng tự cung cấp mã xác thực cho đối tượng lừa đảo. Tâm lý hoảng loạn và thói quen tin vào "tổng đài" là hai điểm yếu phổ biến, trong khi số điện thoại trong email hoàn toàn có thể do kẻ gian dựng lên. Khi tài khoản Apple bị chiếm, rủi ro không chỉ dừng ở tiền bạc mà còn lan sang iCloud, email, danh bạ, tạo điều kiện cho các đợt mạo danh, lừa đảo tiếp theo.
Khuyến cáo cho người dùng Việt Nam: Apple không bao giờ yêu cầu gọi vào số điện thoại trong email lạ, không bao giờ hỏi mật khẩu hay mã OTP qua điện thoại. Bất kỳ ai xin OTP đều có khả năng rất cao là lừa đảo. Nếu nghi ngờ đã sập bẫy, cần đổi ngay mật khẩu Apple ID, đăng xuất khỏi mọi thiết bị, kiểm tra lịch sử đăng nhập và liên hệ ngân hàng để rà soát, khóa các giao dịch bất thường.
WhiteHat nhấn mạnh: “OTP là chìa khóa cuối của tài khoản. Ai xin OTP từ bạn thì dù xưng là Apple hay ngân hàng thì gần như đó là lừa đảo.”
Theo WhiteHat.vn
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview