Coi chừng kiểu tấn công lừa đảo có thể đánh cắp mật khẩu Apple ID rất khó phát hiện

Nhìn vào 2 hình ảnh của màn hình hỏi mật khẩu iCloud người dùng iPhone dưới đây, bạn có thể phân biệt được đâu là thật, đâu là giả?

Màn hình yêu cầu nhập mật khẩu iCloud
Màn hình yêu cầu nhập mật khẩu iCloud

Mới nhìn qua sẽ thấy hai màn hình này giống hệt nhau nhưng pop-up hiện ra ở tấm hình thứ 2 chỉ là giả - một kiểu tấn công hoàn hảo được dùng để lừa những ai không cẩn trọng.

Felix Krause, nhà phát triển iOS và sáng lập Fastlane.Tools đã mô tả một kiểu tấn công lừa đảo gần như không thể phát hiện, giải thích cách ứng dụng iOS nhiễm độc đánh cắp mật khẩu Apple ID để truy cập tài khoản iCloud và dữ liệu cá nhân.

Theo bài đăng của Krause, ứng dụng iOS chỉ cần dùng UIAlertController để hiển thị hộp thoại giả, bắt chước vẻ ngoài và ngôn ngữ mà Apple sử dụng. Điều đó giúp hacker dễ thuyết phục người dùng đưa mật khẩu Apple ID mà không nghi ngờ gì.

“iOS có thể hỏi người dùng mật khẩu iTunes vì nhiều lý do, phổ biến nhất là cập nhật hệ điều hành hay ứng dụng iOS. Khi đó, người dùng thường cứ nhập mật khẩu Apple ID mà không thắc mắc gì”, Krause nói. “Tuy vậy, những pop-up này không chỉ hiển thị trên màn hình khóa, Home mà cả trong ứng dụng, ví dụ như khi truy cập iCloud, Game Center hoặc IAP”.

Nhà phát triển ứng dụng còn có thể tạo cảnh báo giả mà không cần biết email người dùng vì đôi khi Apple cũng làm vậy như hình dưới đây.

Đăng nhập mà không cần email người dùng
Đăng nhập mà không cần email người dùng

Dù chưa có bằng chứng kẻ tấn công khai thác thủ thuật này nhưng Krause nói rằng rất dễ sao chép hộp thoại thông báo của hệ thống, bất kì ứng dụng độc nào cũng có thể làm được. Vì lý do bảo mật, anh không đưa mã nguồn thực sự của pop-up khi mô tả tấn công này.

Đây là cách ngăn kiểu tấn công lừa đảo thông minh này

Krause khuyên người dùng ấn nút Home khi các hộp thoại đáng nghi hiển thị. Nếu thao tác này đóng ứng dụng và cả hộp thoại thì đó là lừa đảo. Nếu cả hộp thoại và ứng dụng vẫn ở đó thì đó là từ Apple thực sự.

“Nguyên nhân là hộp thoại hệ thống chạy trên quy trình khác, không phải một phần của ứng dụng iOS”.

Krause cũng khuyên người dùng tránh nhập thông tin vào bất kì pop-up nào, thay vào đó mở Setting và điền vào đó, cũng như cách người dùng được khuyến khích không click vào link nhận qua email mà hãy tự vào website vậy.

Quan trọng hơn nữa là sử dụng xác thực 2 yếu tố, nến ngay cả khi có mật khẩu, kẻ tấn công cũng không có được mã OTP.

Thứ Tư, 11/10/2017 15:33
31 👨 432
0 Bình luận
Sắp xếp theo