Tư vấn

Cảnh báo: Xuất hiện quảng cáo bắt nhập Apple ID để ăn cắp tài khoản

Cảnh báo: Xuất hiện quảng cáo bắt nhập Apple ID để ăn cắp tài khoản

Cuối tuần qua, Lorenzo Franceschi-Bicchierai - cây viết đến từ Motherboard cần tìm một công thức nấu mực theo phong cách Ý, và anh ấy vô tình thấy ứng dụng dạy nấu ăn có tên GialloZafferano, trên App Store. Sau khi cài đặt và mở ứng dụng, bỗng nhiên có một pop-up hiển thị yêu cầu nhập mật khẩu Apple ID một cách vô lý.

Pop-up từ ứng dụng GialloZafferano

Pop-up yêu cầu mật khẩu Apple ID cho ứng dụng GialloZafferano

Cảm thấy yêu cầu quá hoang đường từ ứng dụng, nên Lorenzo Franceschi-Bicchierai đã từ chối. Theo anh, điều này khá nguy hiểm, người dùng không nên nhập mật khẩu nhạy cảm vào những thời điểm ngẫu nhiên như vậy.

"Những pop-up nói trên đều tiềm ẩn một lỗ hổng bảo mật cho phép hacker ăn cắp tài khoản của người dùng." - Felix Krause, người sáng lập ra công ty Fastlane chia sẻ với trang Motherboard trong một tin nhắn trên Twitter.

Cũng trong một bài viết đăng trên blog của mình vào hôm thứ ba vừa qua (10/10/2017), Felix Krause đã đưa ra 4 ảnh chụp màn hình (bên dưới) cho thấy pop-up chính chủ của iOS và pop-up do anh tạo ra bằng ứng dụng tự chế chỉ với dưới 30 dòng mã (popup này có thể được chèn vào các ứng đã được Apple kiểm duyệt trên App Store). Có thể thấy, chúng không khác gì nhau!

Bên trái là chính chủ Apple, bên phải là hàng fake nguy hiểm

Bên trái là chính chủ Apple, bên phải là hàng fake nguy hiểm

Bên trái là chính chủ Apple, bên phải là hàng nhái nguy hiểm

Như bạn có thể thấy 4 ảnh chụp màn hình phía trên, về cơ bản người dùng bình thường không thể nào biết được đâu là pop-up Apple ID chính chủ và đâu là hàng nhái gây nguy hiểm. Nên hầu hết người dùng đều cho rằng tất cả pop-up loại này đều là của Apple.

"iOS nên có biện pháp phân biệt rõ giữa giao diện hệ thống với giao diện ứng dụng, để một người dùng smartphone với kiến thức trung bình cũng có thể nhận biết được", Krause nói thêm.

"Đây là một vấn đề khó giải quyết. Thậm chí các trình duyệt web cũng có thể tạo ra các pop-up nhìn giống hệt pop-up của macOS hay iOS, khiến người dùng nghĩ đó là pop-up của hệ thống chứ không phải của một website nào đó".

Nếu nhìn thấy một trong các pop-up như trên và bạn nghi ngờ, Krause đề nghị bạn nhấn nút Home để thoát. Trong trường hợp bấm Home để thoát mà pop-up cũng biến mất luôn thì chắc chắc đó là một cuộc tấn công lừa đảo. Còn nếu pop-up và ứng dụng không biến mất, thì đó là hộp thoại hệ thống hợp pháp.

Apple ID

Krause còn đề xuất người dùng đừng bao giờ nhập bất kỳ thông tin nào vào các pop-up như vậy. Thay vào đó, bạn nên tạm thời bỏ qua nó, vào phần Cài đặt máy và nhập mật khẩu ngay trong đó.

Dù cho bạn có sử dụng bảo mật "Xác minh 2 bước" của Apple, thì vẫn có thể bị qua mặt bằng phương pháp tương tự như pop-up ở trên. Krause cho biết sớm muộn gì các hacker cũng có thể "bẻ khóa" bất kỳ phương thức bảo mật nào, bằng nhiều cách thức khác nhau.

Tóm lại, khi tải ứng dụng và trải nghiệm, hãy cẩn thận nếu chúng yêu cầu ta cấp quá nhiều quyền hay nhập thông tin các bạn nhé!!!

Theo: TGDĐ