Một chiến dịch lừa đảo trực tuyến (phishing) mới với thủ đoạn cực kỳ tinh vi đang nhắm đến người dùng Apple. Bằng cách khai thác iCloud Calendar (Lịch), tin tặc có thể gửi các email lừa đảo từ chính máy chủ của Apple, khiến chúng trông đáng tin cậy và dễ dàng qua mặt các hệ thống bảo mật.

Thủ đoạn tinh vi qua mặt mọi hàng rào bảo mật của Apple

Không giống các email lừa đảo thông thường, chiêu thức này sử dụng chính cơ sở hạ tầng của Apple để phát tán tin nhắn. Điều này tạo ra độ tin cậy cao, gây khó khăn cho cả bộ lọc thư rác và các phần mềm chống mã độc tống tiền trong việc phát hiện và ngăn chặn.

Theo trang tin BleepingComputer, kẻ tấn công thực hiện chiêu lừa đảo bằng cách tạo một sự kiện trên ứng dụng Lịch và chèn nội dung lừa đảo vào mục Notes (Ghi chú). Ngay sau đó, hệ thống của Apple sẽ tự động gửi một email thông báo về lời mời này từ địa chỉ email đáng tin cậy của hãng (noreply@email.apple.com).

Email giả mạo được gửi từ chính địa chỉ email của Apple ẢNH: CHỤP MÀN HÌNH BLEEPING COMPUTER

Do được gửi từ máy chủ hợp lệ, email này dễ dàng vượt qua các bước kiểm tra bảo mật quan trọng như SPF, DKIM và DMARC. Kết quả là nạn nhân nhận được một email trông hoàn toàn hợp pháp, cứ như thể do chính Apple gửi.

Mồi nhử được sử dụng khá đơn giản nhưng hiệu quả khi thông báo nạn nhân vừa bị trừ một khoản tiền lớn qua PayPal và yêu cầu họ gọi vào một số điện thoại hỗ trợ để giải quyết.

Mục đích thực sự là để nạn nhân gọi điện trực tiếp cho kẻ lừa đảo. Khi nạn nhân gọi đến, chúng sẽ gây áp lực, yêu cầu họ cài đặt các công cụ truy cập từ xa vào thiết bị với vỏ bọc hỗ trợ hoàn tiền. Một khi có quyền truy cập, kẻ tấn công có thể rút cạn tài khoản ngân hàng, đánh cắp dữ liệu cá nhân hoặc cài cắm thêm các tệp tin độc hại khác.

Điểm đáng báo động nhất của chiến dịch này không nằm ở bản thân chiêu lừa đảo gọi lại, mà ở cách tin tặc đã biến chính dịch vụ của Apple thành một công cụ phát tán lừa đảo đầy hiệu quả.

Hiện Apple hiện chưa đưa ra bình luận chính thức về hình thức lạm dụng này. Do đó, trách nhiệm cảnh giác thuộc về chính người dùng, hãy thận trọng với mọi lời mời bất ngờ liên quan đến ứng dụng Lịch, cũng như không gọi vào các số điện thoại được đính kèm trong những lời mời đó.