Thay vì các chiêu trò lừa đảo thông thường, kẻ gian đã khai thác một kẽ hở trong ứng dụng Lịch (iCloud Calendar) để biến chính Apple thành công cụ phát tán lừa đảo. Phương thức này có độ tin cậy gần như tuyệt đối, khiến cả những người dùng cẩn trọng nhất cũng có thể bị lừa.
Thủ đoạn "mượn tay" Apple tinh vi ra sao?
Cơ chế hoạt động của chiêu lừa này rất đơn giản nhưng vô cùng hiệu quả. Kẻ tấn công sẽ thực hiện các bước sau:
Chúng tạo một sự kiện bất kỳ trên ứng dụng Lịch. Trong phần ghi chú (Notes) của sự kiện, chúng chèn nội dung lừa đảo. Ví dụ: "Tài khoản PayPal của bạn vừa bị trừ một khoản tiền lớn.
Vui lòng gọi ngay đến số điện thoại X-Y-Z để được hỗ trợ hủy giao dịch". Cuối cùng, chúng gửi lời mời tham gia sự kiện này đến email của nạn nhân.
Ngay lập tức, hệ thống của Apple sẽ tự động gửi một email thông báo về lời mời từ địa chỉ [email protected] - một email hoàn toàn hợp pháp. Do được gửi từ máy chủ của Apple, email này dễ dàng vượt qua các lớp bảo mật quan trọng nhất (như SPF, DKIM), khiến bộ lọc thư rác không thể phát hiện.
Email giả mạo được gửi từ chính địa chỉ email của Apple
Kết quả là người dùng nhận được một email trông như do chính Apple gửi, với nội dung khẩn cấp khiến họ hoảng sợ và hành động thiếu suy nghĩ.
Khi nạn nhân gọi vào số điện thoại trong email, họ sẽ kết nối trực tiếp với kẻ lừa đảo. Bằng các chiêu trò tâm lý, chúng sẽ giả danh nhân viên hỗ trợ và yêu cầu nạn nhân cài đặt phần mềm truy cập từ xa vào máy tính hoặc điện thoại để "giúp xử lý hoàn tiền".
Một khi có được quyền truy cập, kẻ tấn công có thể dễ dàng rút cạn tài khoản ngân hàng, đánh cắp dữ liệu cá nhân nhạy cảm, hoặc cài thêm các phần mềm độc hại khác vào thiết bị của nạn nhân.
Làm thế nào để tự bảo vệ?
Mối nguy hiểm lớn nhất của hình thức này là nó lợi dụng chính sự tin tưởng của người dùng vào thương hiệu Apple. Hiện tại, Apple vẫn chưa đưa ra bình luận về vụ việc. Do đó, việc bảo vệ bản thân phụ thuộc hoàn toàn vào sự cảnh giác của bạn. Hãy ghi nhớ các quy tắc sau:
- Tuyệt đối không gọi vào các số điện thoại lạ được đính kèm trong bất kỳ lời mời Lịch (Calendar) nào.
- Thận trọng tối đa với mọi thông báo giao dịch, trừ tiền bất ngờ mà bạn nhận được qua ứng dụng Lịch.
- Luôn xác minh thông tin bằng cách truy cập trực tiếp vào ứng dụng chính thức (vào app PayPal, app ngân hàng của bạn) thay vì làm theo hướng dẫn trong email lạ.
- Xóa ngay lập tức các lời mời tham gia sự kiện đáng ngờ trong Lịch của bạn.
