Lợi dụng kẽ hở kẻ xấu lừa chiếm Apple ID dù nạn nhân bật bảo mật 2 lớp

VNZ-NEWS
Vn-Z.vn Ngày 26 tháng 07 năm 2023, Sự việc xảy ra tại Trung Quốc cho thấy kẻ xấu có thể lợi dụng kẽ hở để lừa chiếm tài khoản Apple ID dù nạn nhân có bật bảo mật 2 lớp.

Trên diễn đàn cộng đồng lập trình viên V2EX của trung Quốc xuất hiện một bài viết nổi bật đang thu hút được sự chú ý của nhiều thành viên, người dùng trên diễn đàn này cho biết rằng tài khoản Apple ID của gia đình mình đã bị lừa đảo và mất tiền dù đã được kích hoạt tính năng xác thực hai lớp.

Người ta nói rằng các thành viên trong gia đình họ đã tải xuống một ứng dụng công thức nấu ăn trên App Store và ủy quyền đăng nhập của họ bằng ID Apple. Sau đó, ứng dụng này hiện ra hộp nhập mật khẩu. Sau khi nhập mật khẩu, họ đã bị lừa lấy thông tin tài khoản nhưng có không có xác thực kép trong toàn bộ quá trình.

hack-apple-id.png

Câu chuyện tóm tắt tạm dịch
Tổng kết lại sự kiện, theo quan điểm cá nhân của tôi, kẻ lừa đảo đã thành công theo cách sau:

1. Tải lên ứng dụng lừa đảo lên App Store và thông qua quá trình kiểm duyệt (lúc này chưa có mã độc).

2. Sử dụng cập nhật nóng để chèn mã độc vào ứng dụng lừa đảo (ứng dụng nấu ăn).

3. Ứng dụng lừa đảo giả mạo cửa sổ WebView để mở trang web đăng nhập Apple ID.

4. Nạn nhân bị lừa đảo bằng cách nhập Apple ID và mật khẩu vào ứng dụng lừa đảo (kẻ lừa đảo thu thập ID và mật khẩu của người dùng).

5. Kẻ lừa đảo sử dụng ứng dụng lừa đảo trên điện thoại của nạn nhân để thêm số điện thoại của mình vào danh sách số điện thoại đáng tin cậy.

6. Kẻ lừa đảo thêm Apple ID của mình vào nhóm gia đình của nạn nhân.

7. Kẻ lừa đảo đăng nhập vào Apple ID đã thêm vào nhóm gia đình của nạn nhân và chi tiêu 16.000 nhân dân tệ trên App Store.

Đối với các bước 1-5, 7, tôi không có bất kỳ câu hỏi nào. Những gì làm tôi bối rối là kẻ lừa đảo làm thế nào để thêm Apple ID của chính mình vào nhóm gia đình của nạn nhân?

Để tham gia nhóm gia đình, kẻ lừa đảo phải thao tác trên thiết bị của người dùng. Kẻ lừa đảo phải đăng nhập vào Apple ID của nạn nhân trên thiết bị của họ để thêm chính mình vào nhóm gia đình. Thao tác đăng nhập vào Apple ID của nạn nhân đã kích hoạt tính năng xác thực hai lớp trên thiết bị của nạn nhân, vì vậy không có cách nào kẻ lừa đảo có thể đăng nhập vào Apple ID của nạn nhân và thêm chính mình vào nhóm gia đình mà không có thông báo xác thực hai lớp.
Nhấn để mở rộng...
Chi tiết thêm câu chuyện của người dùng tại Trung Quốc

Trước đó, tôi luôn nghĩ rằng khi kích hoạt tính năng xác thực hai lớp thì sẽ không bị mất an toàn. Sau khi kiểm tra, tôi khá chắc chắn rằng tôi đã bị lừa đảo:

- Mẹ chồng tôi đã từng mua một sản phẩm ảo trên một ứng dụng nào đó và kết nối thanh toán bằng WeChat trên App Store.

- Vào chiều ngày 11 tháng 7, mẹ chồng tôi đã tải xuống một ứng dụng có tên "Công thức nấu ăn toàn bộ" trên App Store, cách đăng nhập của nó là thông qua Apple ID. Nếu không bật ẩn địa chỉ email của iCloud+ thì tài khoản Apple ID sẽ bị rò rỉ như hình ảnh dưới đây:

hack-Apple-ID.jpg

Tiếp theo, sẽ xuất hiện một ô nhập mật khẩu giống hệt với App Store. Nếu bạn thường xuyên cài đặt ứng dụng, bạn sẽ thấy ô nhập mật khẩu này khi nhận diện khuôn mặt hoặc dấu vân tay không thành công. Nếu không quen với quy trình đăng nhập của App Store, bạn rất dễ bị lừa, như hình ảnh dưới đây:
hack-Apple-ID-2.jpg

Với tài khoản và mật khẩu của Apple ID, kẻ lừa đảo sẽ đăng nhập vào tài khoản và thêm số điện thoại của mình vào danh sách số điện thoại đáng tin cậy, mà theo miêu tả là tính năng xác thực hai lớp. mục đích của việc này là để kẻ lừa đảo có thể xác thực bằng chính số điện thoại của hắn khi đăng nhập vào tài khoản Apple ID trong các lần sau, như hình ảnh dưới đây:
hack-Apple-ID-3.jpg

Sau khi kẻ lừa đảo đã chiếm được toàn quyền truy cập vào tài khoản Apple ID của nạn nhân.

Tiếp theo, thay vì trực tiếp sử dụng tài khoản Apple ID để thanh toán đơn hàng, kẻ lừa đảo sẽ tạo một nhóm gia đình và thêm một tài khoản khác vào nhóm gia đình đó. Sau đó kẻ lừa đảo sẽ sử dụng tài khoản đó để mua các sản phẩm ảo trong ứng dụng, như hình ảnh dưới đây:
hack-Apple-ID-4.jpg


Nạn nhân đã thử các biện pháp để cố gắng thu hồi tiền và giảm thiệt hại
Tôi không hiểu lắm về toàn bộ quy trình lừa đảo, khi bật xác thực hai yếu tố, trừ khi mẹ chồng tôi chủ động nhập mã xác minh, còn không thì ngay cả khi bên kia lấy được mật khẩu tài khoản của Apple ID, họ cũng không nên có thể đăng nhập.

..tôi đã truy cập trợ giúp với sự nhầm lẫn. thử hoàn tiền Tôi đã thử nhiều cách trong dịch vụ khách hàng của Apple 400, nhưng cuối cùng tất cả đều thất bại: Đăng ký hoàn tiền trên trang reportaproublem.apple.com. Sau khi đăng ký, hãy liên hệ với dịch vụ khách hàng để thông báo rằng yêu cầu bị từ chối.
Tôi đã đến bộ phận chăm sóc khách hàng chịu trách nhiệm về đơn hàng trên App Store và yêu cầu nâng cấp lên một chuyên gia tư vấn cấp cao, nhưng họ cho biết đây là kết quả cuối cùng và việc nâng cấp là vô nghĩa nên tôi đã bị từ chối.
Tôi đã tìm dịch vụ khách hàng chịu trách nhiệm về ID Apple và yêu cầu hỏi về việc ID Apple bị đánh cắp, nhưng được thông báo rằng không thể tìm thấy hồ sơ nào.
Tư vấn cấp cao phụ trách Apple ID được chuyển sang tư vấn cấp cao phụ trách đơn hàng App Store, sau 2 tiếng tranh cãi với tư vấn viên thì bị từ chối.
Các cách để thử cho đến nay: Gọi 12315 để phản hồi Khiếu nại với Trung tâm báo cáo thông tin xấu và bất hợp pháp của Bộ Công nghiệp và Công nghệ thông tin thậm chí kiện Apple
Nhấn để mở rộng...

Theo bài kiểm tra của nhóm kỹ thuật viên của @BugOS, ứng dụng trên thiết bị đáng tin cậy có thể truy cập vào trang web appleid.apple.com mà không cần xác thực hai lớp, thông qua việc kích hoạt một WebView ẩn. Điều này cho phép kẻ tấn công đăng nhập vào tài khoản Apple ID chỉ bằng cách quét khuôn mặt. Ứng dụng cũng sử dụng các hộp thoại giả để lừa đảo người dùng cung cấp mật khẩu, sau đó thêm số điện thoại của kẻ tấn công vào danh sách số điện thoại đáng tin cậy của tính năng xác thực hai lớp. Kẻ tấn công có thể xa hội hóa thiết bị của nạn nhân và gây ra các giao dịch mua hàng và lừa đảo tiền.

Từ cả quá trình và nguyên lý, phương pháp lừa đảo này thực sự rất tinh vi và khó phòng chống. Hiện tại, chúng ta chưa biết khi nào Apple sẽ vá lỗi này. Nhóm kỹ thuật viên của @BugOS cho biết, khi bạn một cửa sổ yêu cầu nhập mật khẩu Apple ID xuất hiện trên iPhone, bạn có thể thử nhấn nút Home hoặc vuốt lên để thoát khỏi nó. Nếu cửa sổ đó biến mất, thì đó là hành động lừa đảo. Đây có thể là một biện pháp tạm thời để ứng phó với các cuộc tấn công lừa đảo trên Apple ID.
 
  • Like
 ai0ia and pepePE Reactions: ai0ia and pepePE
Iphone của mình không xoá được ảnh trên máy
Trả lời
Trong Le

Trong Le

Rìu Vàng
may quá! Tui không có "ai đi áp pồ".
Hú hồn!
 
SieuSaiyanRose

SieuSaiyanRose

Búa Gỗ
Mình thì ko bao giờ dùng tài khoản của google, fb... để đăng nhập cho 1 ứng dụng khác. Nếu bắt buộc phải tạo tài khoản cho 1 ứng dụng nào đó thì mình luôn tạo tài khoản bằng 1 email (email này chuyên dùng tạo tài khoản, ko liên quan gì đến các email dành cho công việc quan trọng). Như vậy sẽ hạn chế bị lộ tài khoản google, fb với các ứng dụng khác. Ko nên cấp quyền để các ứng dụng, trang web xem đc tài khoản của mình.

Mình khuyên mọi người nên tạo 3 - 5 email cho những công việc khác nhau: Mail công việc, ngân hàng, mail ứng dụng giao hàng, mail tài khoản diễn đàn, website, mail đăng ký rác...
Sau đó có 1 mail tổng, nơi để nhận chuyển tiếp thư từ các mail kia về mail tổng này, chỉ cần đăng nhập 1 mail này là có thể nhận trả lời thư cho tất cả. Mail này ko đăng ký bất kì cái gì, ko public ra ngoài, xác thực 2,3 lớp, bảo mật cao nhất, như vậy sẽ đảm bảo ko bị nhận thư rác, ko lộ thông tin. Thấy nhiều người dùng chỉ 1,2 email đăng ký tùm lum tài khoản, mail ngân hàng mà để nhận toàn thư rác.
 
Swings Onlyone

Swings Onlyone

Rìu Vàng Đôi
VIP User
không phải khó phòng mà là gần như không có cách nào phòng.
nó chui lỗ hổng từ phần kiểm duyệt của bên sever apple, người dùng chẳng lẽ còn có thể bung source code của bản hotflix ra kiểm tra k thành?
 
You must log in or register to reply here.
BÀI MỚI ĐANG THẢO LUẬN
Xin tư vấn app xem TV cho android box !
6/5/24
THÁNG 5 - 3 kịch bản chứng khoán VNINDEX và 8 cổ phiếu MUA
6/5/24
6 Mẫu bài Viết cho Fanpage Doanh Nghiệp Trên Facebook
6/5/24
lỗi đường dẫn khi sửa
6/5/24
Dành cho Nga và Ukraina
6/5/24
Bản quyền Lifetime COLOR Projects 6 Professional | Phần mềm xử lý hình...
6/5/24