Vn-Z.vn Ngày 26 tháng 07 năm 2023, Sự việc xảy ra tại Trung Quốc cho thấy kẻ xấu có thể lợi dụng kẽ hở để lừa chiếm tài khoản Apple ID dù nạn nhân có bật bảo mật 2 lớp.
Trên diễn đàn cộng đồng lập trình viên V2EX của trung Quốc xuất hiện một bài viết nổi bật đang thu hút được sự chú ý của nhiều thành viên, người dùng trên diễn đàn này cho biết rằng tài khoản Apple ID của gia đình mình đã bị lừa đảo và mất tiền dù đã được kích hoạt tính năng xác thực hai lớp.
Người ta nói rằng các thành viên trong gia đình họ đã tải xuống một ứng dụng công thức nấu ăn trên App Store và ủy quyền đăng nhập của họ bằng ID Apple. Sau đó, ứng dụng này hiện ra hộp nhập mật khẩu. Sau khi nhập mật khẩu, họ đã bị lừa lấy thông tin tài khoản nhưng có không có xác thực kép trong toàn bộ quá trình.
Trước đó, tôi luôn nghĩ rằng khi kích hoạt tính năng xác thực hai lớp thì sẽ không bị mất an toàn. Sau khi kiểm tra, tôi khá chắc chắn rằng tôi đã bị lừa đảo:
- Mẹ chồng tôi đã từng mua một sản phẩm ảo trên một ứng dụng nào đó và kết nối thanh toán bằng WeChat trên App Store.
- Vào chiều ngày 11 tháng 7, mẹ chồng tôi đã tải xuống một ứng dụng có tên "Công thức nấu ăn toàn bộ" trên App Store, cách đăng nhập của nó là thông qua Apple ID. Nếu không bật ẩn địa chỉ email của iCloud+ thì tài khoản Apple ID sẽ bị rò rỉ như hình ảnh dưới đây:
Tiếp theo, sẽ xuất hiện một ô nhập mật khẩu giống hệt với App Store. Nếu bạn thường xuyên cài đặt ứng dụng, bạn sẽ thấy ô nhập mật khẩu này khi nhận diện khuôn mặt hoặc dấu vân tay không thành công. Nếu không quen với quy trình đăng nhập của App Store, bạn rất dễ bị lừa, như hình ảnh dưới đây:
Với tài khoản và mật khẩu của Apple ID, kẻ lừa đảo sẽ đăng nhập vào tài khoản và thêm số điện thoại của mình vào danh sách số điện thoại đáng tin cậy, mà theo miêu tả là tính năng xác thực hai lớp. mục đích của việc này là để kẻ lừa đảo có thể xác thực bằng chính số điện thoại của hắn khi đăng nhập vào tài khoản Apple ID trong các lần sau, như hình ảnh dưới đây:
Sau khi kẻ lừa đảo đã chiếm được toàn quyền truy cập vào tài khoản Apple ID của nạn nhân.
Tiếp theo, thay vì trực tiếp sử dụng tài khoản Apple ID để thanh toán đơn hàng, kẻ lừa đảo sẽ tạo một nhóm gia đình và thêm một tài khoản khác vào nhóm gia đình đó. Sau đó kẻ lừa đảo sẽ sử dụng tài khoản đó để mua các sản phẩm ảo trong ứng dụng, như hình ảnh dưới đây:
Nạn nhân đã thử các biện pháp để cố gắng thu hồi tiền và giảm thiệt hại
Theo bài kiểm tra của nhóm kỹ thuật viên của @BugOS, ứng dụng trên thiết bị đáng tin cậy có thể truy cập vào trang web appleid.apple.com mà không cần xác thực hai lớp, thông qua việc kích hoạt một WebView ẩn. Điều này cho phép kẻ tấn công đăng nhập vào tài khoản Apple ID chỉ bằng cách quét khuôn mặt. Ứng dụng cũng sử dụng các hộp thoại giả để lừa đảo người dùng cung cấp mật khẩu, sau đó thêm số điện thoại của kẻ tấn công vào danh sách số điện thoại đáng tin cậy của tính năng xác thực hai lớp. Kẻ tấn công có thể xa hội hóa thiết bị của nạn nhân và gây ra các giao dịch mua hàng và lừa đảo tiền.
Từ cả quá trình và nguyên lý, phương pháp lừa đảo này thực sự rất tinh vi và khó phòng chống. Hiện tại, chúng ta chưa biết khi nào Apple sẽ vá lỗi này. Nhóm kỹ thuật viên của @BugOS cho biết, khi bạn một cửa sổ yêu cầu nhập mật khẩu Apple ID xuất hiện trên iPhone, bạn có thể thử nhấn nút Home hoặc vuốt lên để thoát khỏi nó. Nếu cửa sổ đó biến mất, thì đó là hành động lừa đảo. Đây có thể là một biện pháp tạm thời để ứng phó với các cuộc tấn công lừa đảo trên Apple ID.
Trên diễn đàn cộng đồng lập trình viên V2EX của trung Quốc xuất hiện một bài viết nổi bật đang thu hút được sự chú ý của nhiều thành viên, người dùng trên diễn đàn này cho biết rằng tài khoản Apple ID của gia đình mình đã bị lừa đảo và mất tiền dù đã được kích hoạt tính năng xác thực hai lớp.
Người ta nói rằng các thành viên trong gia đình họ đã tải xuống một ứng dụng công thức nấu ăn trên App Store và ủy quyền đăng nhập của họ bằng ID Apple. Sau đó, ứng dụng này hiện ra hộp nhập mật khẩu. Sau khi nhập mật khẩu, họ đã bị lừa lấy thông tin tài khoản nhưng có không có xác thực kép trong toàn bộ quá trình.
Chi tiết thêm câu chuyện của người dùng tại Trung QuốcCâu chuyện tóm tắt tạm dịch
Tổng kết lại sự kiện, theo quan điểm cá nhân của tôi, kẻ lừa đảo đã thành công theo cách sau:
1. Tải lên ứng dụng lừa đảo lên App Store và thông qua quá trình kiểm duyệt (lúc này chưa có mã độc).
2. Sử dụng cập nhật nóng để chèn mã độc vào ứng dụng lừa đảo (ứng dụng nấu ăn).
3. Ứng dụng lừa đảo giả mạo cửa sổ WebView để mở trang web đăng nhập Apple ID.
4. Nạn nhân bị lừa đảo bằng cách nhập Apple ID và mật khẩu vào ứng dụng lừa đảo (kẻ lừa đảo thu thập ID và mật khẩu của người dùng).
5. Kẻ lừa đảo sử dụng ứng dụng lừa đảo trên điện thoại của nạn nhân để thêm số điện thoại của mình vào danh sách số điện thoại đáng tin cậy.
6. Kẻ lừa đảo thêm Apple ID của mình vào nhóm gia đình của nạn nhân.
7. Kẻ lừa đảo đăng nhập vào Apple ID đã thêm vào nhóm gia đình của nạn nhân và chi tiêu 16.000 nhân dân tệ trên App Store.
Đối với các bước 1-5, 7, tôi không có bất kỳ câu hỏi nào. Những gì làm tôi bối rối là kẻ lừa đảo làm thế nào để thêm Apple ID của chính mình vào nhóm gia đình của nạn nhân?
Để tham gia nhóm gia đình, kẻ lừa đảo phải thao tác trên thiết bị của người dùng. Kẻ lừa đảo phải đăng nhập vào Apple ID của nạn nhân trên thiết bị của họ để thêm chính mình vào nhóm gia đình. Thao tác đăng nhập vào Apple ID của nạn nhân đã kích hoạt tính năng xác thực hai lớp trên thiết bị của nạn nhân, vì vậy không có cách nào kẻ lừa đảo có thể đăng nhập vào Apple ID của nạn nhân và thêm chính mình vào nhóm gia đình mà không có thông báo xác thực hai lớp.
Trước đó, tôi luôn nghĩ rằng khi kích hoạt tính năng xác thực hai lớp thì sẽ không bị mất an toàn. Sau khi kiểm tra, tôi khá chắc chắn rằng tôi đã bị lừa đảo:
- Mẹ chồng tôi đã từng mua một sản phẩm ảo trên một ứng dụng nào đó và kết nối thanh toán bằng WeChat trên App Store.
- Vào chiều ngày 11 tháng 7, mẹ chồng tôi đã tải xuống một ứng dụng có tên "Công thức nấu ăn toàn bộ" trên App Store, cách đăng nhập của nó là thông qua Apple ID. Nếu không bật ẩn địa chỉ email của iCloud+ thì tài khoản Apple ID sẽ bị rò rỉ như hình ảnh dưới đây:
Tiếp theo, sẽ xuất hiện một ô nhập mật khẩu giống hệt với App Store. Nếu bạn thường xuyên cài đặt ứng dụng, bạn sẽ thấy ô nhập mật khẩu này khi nhận diện khuôn mặt hoặc dấu vân tay không thành công. Nếu không quen với quy trình đăng nhập của App Store, bạn rất dễ bị lừa, như hình ảnh dưới đây:
Với tài khoản và mật khẩu của Apple ID, kẻ lừa đảo sẽ đăng nhập vào tài khoản và thêm số điện thoại của mình vào danh sách số điện thoại đáng tin cậy, mà theo miêu tả là tính năng xác thực hai lớp. mục đích của việc này là để kẻ lừa đảo có thể xác thực bằng chính số điện thoại của hắn khi đăng nhập vào tài khoản Apple ID trong các lần sau, như hình ảnh dưới đây:
Sau khi kẻ lừa đảo đã chiếm được toàn quyền truy cập vào tài khoản Apple ID của nạn nhân.
Tiếp theo, thay vì trực tiếp sử dụng tài khoản Apple ID để thanh toán đơn hàng, kẻ lừa đảo sẽ tạo một nhóm gia đình và thêm một tài khoản khác vào nhóm gia đình đó. Sau đó kẻ lừa đảo sẽ sử dụng tài khoản đó để mua các sản phẩm ảo trong ứng dụng, như hình ảnh dưới đây:
Nạn nhân đã thử các biện pháp để cố gắng thu hồi tiền và giảm thiệt hại
Tôi không hiểu lắm về toàn bộ quy trình lừa đảo, khi bật xác thực hai yếu tố, trừ khi mẹ chồng tôi chủ động nhập mã xác minh, còn không thì ngay cả khi bên kia lấy được mật khẩu tài khoản của Apple ID, họ cũng không nên có thể đăng nhập.
..tôi đã truy cập trợ giúp với sự nhầm lẫn. thử hoàn tiền Tôi đã thử nhiều cách trong dịch vụ khách hàng của Apple 400, nhưng cuối cùng tất cả đều thất bại: Đăng ký hoàn tiền trên trang reportaproublem.apple.com. Sau khi đăng ký, hãy liên hệ với dịch vụ khách hàng để thông báo rằng yêu cầu bị từ chối.
Tôi đã đến bộ phận chăm sóc khách hàng chịu trách nhiệm về đơn hàng trên App Store và yêu cầu nâng cấp lên một chuyên gia tư vấn cấp cao, nhưng họ cho biết đây là kết quả cuối cùng và việc nâng cấp là vô nghĩa nên tôi đã bị từ chối.
Tôi đã tìm dịch vụ khách hàng chịu trách nhiệm về ID Apple và yêu cầu hỏi về việc ID Apple bị đánh cắp, nhưng được thông báo rằng không thể tìm thấy hồ sơ nào.
Tư vấn cấp cao phụ trách Apple ID được chuyển sang tư vấn cấp cao phụ trách đơn hàng App Store, sau 2 tiếng tranh cãi với tư vấn viên thì bị từ chối.
Các cách để thử cho đến nay: Gọi 12315 để phản hồi Khiếu nại với Trung tâm báo cáo thông tin xấu và bất hợp pháp của Bộ Công nghiệp và Công nghệ thông tin thậm chí kiện Apple
Theo bài kiểm tra của nhóm kỹ thuật viên của @BugOS, ứng dụng trên thiết bị đáng tin cậy có thể truy cập vào trang web appleid.apple.com mà không cần xác thực hai lớp, thông qua việc kích hoạt một WebView ẩn. Điều này cho phép kẻ tấn công đăng nhập vào tài khoản Apple ID chỉ bằng cách quét khuôn mặt. Ứng dụng cũng sử dụng các hộp thoại giả để lừa đảo người dùng cung cấp mật khẩu, sau đó thêm số điện thoại của kẻ tấn công vào danh sách số điện thoại đáng tin cậy của tính năng xác thực hai lớp. Kẻ tấn công có thể xa hội hóa thiết bị của nạn nhân và gây ra các giao dịch mua hàng và lừa đảo tiền.
Từ cả quá trình và nguyên lý, phương pháp lừa đảo này thực sự rất tinh vi và khó phòng chống. Hiện tại, chúng ta chưa biết khi nào Apple sẽ vá lỗi này. Nhóm kỹ thuật viên của @BugOS cho biết, khi bạn một cửa sổ yêu cầu nhập mật khẩu Apple ID xuất hiện trên iPhone, bạn có thể thử nhấn nút Home hoặc vuốt lên để thoát khỏi nó. Nếu cửa sổ đó biến mất, thì đó là hành động lừa đảo. Đây có thể là một biện pháp tạm thời để ứng phó với các cuộc tấn công lừa đảo trên Apple ID.
BÀI MỚI ĐANG THẢO LUẬN