Theo Nhật báo phố Wall – WSJ
Ngày 24 tháng 2 năm 2023 10:51 sáng theo giờ ET
Ký giả: Joanna Stern và Nicole Nguyen
NEW YORK—Vào đầu giờ cuối tuần của Lễ tạ ơn, Reyhan Ayas đang rời khỏi một quán bar ở Midtown Manhattan thì một người đàn ông mà cô vừa gặp đã giật chiếc iPhone 13 Pro Max của cô.
Trong vòng vài phút, người phụ nữ 31 tuổi, nhà kinh tế cấp cao tại một công ty khởi nghiệp về dự báo lực lượng lao động, không thể truy cập vào tài khoản Apple của cô ấy và tất cả những thứ chứa ở trong đó, bao gồm ảnh, danh bạ và ghi chú. Cô cho biết trong 24 giờ tới, khoảng 10.000 USD đã biến mất khỏi tài khoản ngân hàng của cô.
Reyhan Ayas đã mất khoảng 10.000 đô la và quyền truy cập vào tài khoản Apple của cô ấy sau khi chiếc iPhone 13 Pro Max của cô ấy bị đánh cắp bên ngoài một quán bar ở Manhattan.
Ảnh: Nuvany David cho Tạp chí Phố Wall
Những câu chuyện tương tự đang chồng chất tại các đồn cảnh sát trên khắp đất nước. Sử dụng một thủ thuật công nghệ thấp đáng chú ý, những tên trộm theo dõi chủ sở hữu iPhone chạm vào mật mã của họ, sau đó đánh cắp điện thoại của đối tượng—và làm chủ cuộc sống số của họ.
Adam Aviv, phó giáo sư khoa học máy tính tại Đại học George Washington, cho biết: “Việc kẻ tấn công sử dụng kỹ thuật lướt vai hoặc kỹ thuật xã hội (để ăn cắp mật khẩu) luôn xảy ra, chỉ là vấn đề thời gian vì sớm muộn gì, tình trạng này sẽ xảy ra. Ông nói thêm rằng việc dựa vào điện thoại như một thiết bị đáng tin cậy sẽ không thành công trong những trường hợp như vậy.
Tất cả các nạn nhân được The Wall Street Journal phỏng vấn đều cho biết iPhone của họ đã bị đánh cắp khi họ ra ngoài giao lưu vào ban đêm. Một số người cho biết điện thoại đã bị cướp giật khỏi tay họ bởi một người mà họ mới gặp. Những người khác cho biết họ bị hành hung và đe dọa giao nộp điện thoại và mật mã. Một số người nói rằng họ tin rằng họ đã bị đánh thuốc mê. Họ thức dậy vào sáng hôm sau và mất điện thoại, không nhớ gì về đêm hôm trước.
Trong mọi trường hợp, chủ sở hữu iPhone đã bị khóa tài khoản Apple của họ. Sau đó, họ phát hiện ra hàng nghìn đô la bị đánh cắp tài chính, bao gồm một số kết hợp phí Apple Pay, tài khoản ngân hàng bị rút cạn liên kết với ứng dụng điện thoại và tiền lấy từ Venmo của PayPal Holdings Inc. và các ứng dụng gửi tiền khác.
Một số nạn nhân cho biết thẻ tín dụng Apple đã được kẻ cắp mở dưới tên của họ vì ứng dụng Thẻ Apple sẽ tự động điền thông tin có thể được lưu trữ trên iPhone, chẳng hạn như tên, địa chỉ và ngày sinh của chủ sở hữu. Sau khi mở thẻ thành công, kẻ cắp có thể nhanh chóng tích lũy hàng ngàn đô la thông qua ứng dụng Wallet của Apple.
Biểu mẫu Thẻ Apple yêu cầu người đăng ký nhập bốn chữ số cuối của số An sinh xã hội của họ. Một nạn nhân, David Vigilante, tin rằng những tên trộm đã tìm thấy thông tin đó ngay trong ứng dụng Ảnh trên iPhone XS Max của anh ấy.
Các ứng dụng như Apple Photos, iCloud Drive và Google Drive hiện cung cấp khả năng tìm kiếm văn bản trong hình ảnh và tài liệu. Trong các thử nghiệm của Tạp chí WSJ, một tìm kiếm trong ứng dụng Apple Photos cho ‘SSN’ (số An sinh xã hội) và ‘TIN’ (số cá thể nộp thuế) ngay lập tức tạo ra tờ mẫu khai thuế lợi tức 1099 với thông tin An sinh xã hội điền sẵn, thông tin này được trích ra từ các lưu trữ trên điện thoại.
Trong số các nạn nhân mà Tạp chí WSJ đã nói chuyện, họ cho biết hầu hết các ngân hàng và ứng dụng tài chính của họ đã hoàn lại số tiền bị mất do hoạt động gian lận tín dụng.
Những tên trộm đang khai thác một lỗ hổng đơn giản trong thiết kế phần mềm của hơn một tỷ iPhone đang hoạt động trên toàn cầu.
Kẻ cắp tập trung vào mật mã, một chuỗi số ngắn cấp quyền truy cập vào một thiết bị; và mật khẩu, thường là các tổ hợp chữ và số dài hơn dùng làm thông tin đăng nhập cho các tài khoản khác nhau.
Chỉ với iPhone và mật mã của nó, kẻ gian có thể thay đổi mật khẩu được liên kết với ID Apple của chủ sở hữu iPhone trong vòng vài giây. Điều này sẽ khóa nạn nhân khỏi tài khoản của họ, bao gồm mọi dữ kiện được lưu trữ trong iCloud. Kẻ trộm cũng có thể thường xuyên cướp các ứng dụng tài chính của điện thoại vì mật khẩu có thể mở khóa quyền truy cập vào tất cả các mật khẩu được lưu trữ trên thiết bị.
Alex Argiro, người đã điều tra một đường dây trộm cắp cấp cao với tư cách là thám tử của Sở cảnh sát New York trước khi nghỉ hưu vào mùa thu năm ngoái, cho biết: “Một khi bạn mở được chiếc điện thoại, nó giống như một hộp kho báu. Ông cho biết đã có hàng trăm loại tội phạm như vậy trong thành phố trong hai năm qua. “Điều này đang phát triển,” ông nói. “Đó là một tội phạm do cơ hội vì mọi người đều xài ứng dụng tài chính ở trên phone.”
Apple Inc cần bảo vệ khách hàng
Apple Inc. đã tự quảng cáo mình là công ty hàng đầu về quyền riêng tư và bảo mật kỹ thuật số, bán các dịch vụ web iCloud, phần mềm và phần cứng được tích hợp chặt chẽ để bảo vệ tốt nhất cho dữ liệu của khách hàng. Người phát ngôn của Apple cho biết: “Các nhà nghiên cứu bảo mật đồng ý rằng iPhone là thiết bị di động tiêu dùng an toàn nhất và chúng tôi làm việc không mệt mỏi mỗi ngày để bảo vệ tất cả người dùng khỏi các mối đe dọa mới và đang nổi lên”.
“Chúng tôi thông cảm với những người dùng đã gặp phải trải nghiệm này và chúng tôi rất coi trọng mọi cuộc tấn công nhằm vào người dùng của mình, bất kể hiếm đến mức nào,” cô nói, đồng thời cho biết thêm rằng công ty tin rằng những tội phạm này không phổ biến vì chúng yêu cầu đánh cắp thiết bị và mật mã. . “Chúng tôi sẽ tiếp tục nâng cao các biện pháp bảo vệ để giúp giữ an toàn cho tài khoản người dùng.”
Một cuộc kiểm tra hàng loạt vụ trộm cắp gần đây cho thấy có thể có lỗ hổng trong áo giáp của Apple. Hệ thống phòng thủ của công ty được thiết kế dựa trên các tình huống tấn công phổ biến—tin tặc trên internet cố gắng sử dụng thông tin đăng nhập của một người hoặc kẻ trộm trên đường muốn giật một chiếc iPhone để bán nhanh. Họ không nhất thiết phải tính đến trường hơp ở quán Bar, trong màn sương mù của khung cảnh tối mờ, đầy những người trẻ tuổi, nơi những kẻ săn mồi kết bạn với nạn nhân của chúng và dụ họ dùng iPhone rồi lén nhìn mật khẩu của nạn nhân. Khi kẻ trộm sở hữu cả mật khẩu và điện thoại, chúng có thể khai thác một tính năng mà Apple cố ý thiết kế để tạo sự thuận tiện: cho phép những khách hàng hay quên sử dụng mật mã của họ để đặt lại mật khẩu tài khoản Apple.
Vĩnh viễn, một số người có iPhone bị đánh cắp không thể lấy lại quyền truy cập vào tài khoản Apple của họ. Với mật khẩu, kẻ gian có thể thay đổi số điện thoại và email dự phòng của ID Apple và có thể bật tính năng bảo mật có tên là khóa khôi phục.
Theo chính sách của Apple, công ty không cho phép người dùng lấy lại quyền truy cập vào tài khoản bị mất của họ nếu khóa khôi phục được bật lên và họ không thể tạo khóa đó.
Về lý thuyết, những cải tiến bảo mật mới đây của Apple sẽ loại bỏ lỗ hổng của mật mã bị ăn cắp. Người phát ngôn của Apple đã chỉ ra Face ID (nhận dạng khuôn mặt) và Touch ID (nhận dạng vân tay) là những cách có thể hạn chế hoàn toàn nhu cầu nhập mật khẩu bằng tay. Tuy nhiên có người nói rằng cách này có thể làm cho kẻ cướp chặt ngón tay hoặc đầu của nạn nhân để sử dụng cho việc truy cập tài khoản nạn nhân.
Những người bị vĩnh viễn khóa tài khoản Apple của chính họ thường bị mất thứ quí giá hơn tiền
Ngay sau khi iPhone bị đánh cắp bên ngoài quán bar ở New York, cô Ayas, người có bằng tốt nghiệp kinh tế tại Đại học Princeton, đã cố gắng đăng nhập vào Apple ID của mình và truy cập mục “Tìm iPhone của tôi”. Không may là vào thời điểm đó, tên trộm đã thay đổi mật khẩu của cô ấy. Nhiều tháng và nhiều cuộc gọi khiếu nại tới bộ phận hỗ trợ của Apple sau đó, cô ấy vẫn không thể giành lại quyền truy cập vào tài khoản của chính mình vì kẻ trộm cũng đã kích hoạt khóa khôi phục.
“Tôi truy cập ứng dụng Ảnh của mình và bồn chồn hy vọng nhìn thấy những khuôn mặt quen thuộc, ảnh của bố và gia đình tôi — tất cả đều đã biến mất,” cô Ayas nói. “Được thông báo rằng tôi đã vĩnh viễn mất tất cả những ký ức đó thật là một cảm xúc đau buồn.”
Bạn có thể củng cố an toàn cho tài khoản Apple của mình
Về lý thuyết, những cải tiến bảo mật mới đây của Apple sẽ loại bỏ lỗ hổng của mật mã bị ăn cắp. Người phát ngôn của Apple đã chỉ ra Face ID (nhận dạng khuôn mặt) và Touch ID (nhận dạng vân tay) là những cách có thể hạn chế hoàn toàn nhu cầu nhập mật khẩu bằng tay. Tuy nhiên có người nói rằng cách này có thể làm cho kẻ cướp chặt ngón tay hoặc đầu của nạn nhân để sử dụng cho việc truy cập tài khoản của nạn nhân.
Bạn có thể gia tăng an toàn bằng cách sử dụng hai bước truy cập vừa bằng nhận dạng vừa bằng mật khẩu.
Phan Sinh Trần