iPhone bị đánh cắp: Màn hình sau đó là cuộc tấn công của hacker và hệ sinh thái mở khóa chợ đen

Mỗi năm, hàng triệu chiếc điện thoại trên toàn cầu bị đánh cắp. Trong khi hàng nghìn chiếc iPhone bị vận chuyển sang Trung Quốc để tháo linh kiện, tội phạm có thể kiếm được lợi nhuận cao hơn nhiều nếu bán lại một thiết bị đã được mở khóa và xóa sạch dữ liệu. Gần đây, các nhà nghiên cứu đã vén màn một phần của mạng lưới tội phạm mạng ngầm, nơi cung cấp các dịch vụ giúp truy cập vào những chiếc iPhone bị đánh cắp này.

Theo các phát hiện từ các nhà nghiên cứu tại công ty an ninh mạng Infoblox, trên khắp mạng internet và nền tảng Telegram đang tồn tại một "hệ sinh thái sôi động" của những người bán phần mềm. Họ cung cấp các công cụ "mở khóa" và công nghệ tạo tin nhắn lừa đảo (phishing) để hỗ trợ thị trường buôn bán iPhone bị cắp. Infoblox cho biết họ đã theo dõi "hàng chục" nhóm bán công cụ mở khóa, chủ yếu tập trung vào iPhone, và đã liên kết hơn 10.000 trang web lừa đảo với hoạt động này. Lưu lượng truy cập đến các tên miền này đã tăng 350% vào năm ngoái.

Mục tiêu cuối cùng là bán lại thiết bị

"Mục tiêu 100% của họ là bán lại thiết bị", Maël Le Touz, nhà nghiên cứu mối đe dọa tại Infoblox chia sẻ. Ông cho biết những người từ khắp nơi trên thế giới dường như đang mua quyền truy cập vào các phần mềm trả phí theo lần sử dụng này. Chi phí trung bình cho mỗi lần sử dụng dưới 10 USD.

"Hầu hết những người muốn mở khóa điện thoại rõ ràng không có hàng nghìn chiếc trong tay — họ không hoạt động ở quy mô lớn đó", Le Touz nhận định. Điều này cho thấy không chỉ là các băng nhóm tội phạm lớn, mà cả những kẻ trộm vặt cũng đang tham gia vào chuỗi cung ứng này.

Trong vài năm qua, số lượng điện thoại bị đánh cắp đã gia tăng. Ví dụ, chỉ trong một năm đã có khoảng 80.000 thiết bị bị lấy mất tại London. Mặc dù Apple và Google đã cải thiện tính năng bảo vệ cho thiết bị bị mất, các loại tội phạm khác nhau vẫn có thể kiếm tiền từ những chiếc điện thoại bị đánh cắp: Nếu điện thoại được mở khóa hoặc kẻ trộm có mã passcode, chúng có thể đánh cắp tiền từ tài khoản ngân hàng trực tuyến hoặc ví tiền điện tử.

Chiến thuật lừa đảo tinh vi

"Kẻ trộm điện thoại không chỉ muốn chiếc máy — chúng muốn truy cập vào tài khoản ngân hàng và thông tin cá nhân", ông Will Lyne, người đứng đầu bộ phận tội phạm kinh tế và mạng của Cảnh sát Metropolitan London cho biết. Ông Lyne nhấn mạnh một vụ việc mà bốn người đàn ông đã bị bắt giữ vì xử lý hơn 5.000 chiếc điện thoại bị đánh cắp và chi tiêu tiền từ các tài khoản tài chính trên những thiết bị này.

Dan Guido, CEO của công ty bảo mật Trail of Bits, cho biết một chiếc điện thoại bị đánh cắp khi vẫn còn khóa có thể chỉ trị giá 50 đến 200 USD. "Nhưng nếu bạn mở khóa được, nó trị giá 500 USD, hoặc thậm chí 1.000 USD". Sự chênh lệch giá trị này là động lực thúc đẩy mọi người tìm cách xâm nhập vào thiết bị.

Các nhà nghiên cứu tại Infoblox bắt đầu điều tra nền kinh tế mở khóa điện thoại bị đánh cắp vào đầu năm nay sau khi một liên hệ thực thi pháp luật tại Châu Á thông báo rằng iPhone của họ đã bị đánh cắp và họ nhận được tin nhắn lừa đảo sau khi để lại thông tin liên lạc dự phòng trên thiết bị bị khóa. Liên kết trong trang lừa đảo này giả mạo trang web "Tìm iPhone" (Find My) của Apple, hiển thị bản đồ sai với vị trí của điện thoại, sau đó hiện một cửa sổ bật yêu cầu mã PIN của điện thoại.

Công cụ và hệ sinh thái ngầm

Trung tâm An ninh mạng Quốc gia Thụy Sĩ cũng đã báo cáo về việc nhận được tin nhắn lừa đảo sau khi mất hoặc bị đánh cắp iPhone, trong đó kẻ tấn công nhắm vào việc truy cập tài khoản iCloud và xóa thiết bị khỏi tài khoản.

"Để khiến tin nhắn trông thuyết phục, chúng bao gồm các chi tiết chính xác về thiết bị bị mất — chẳng hạn như mẫu mã, màu sắc và dung lượng lưu trữ — những kẻ lừa đảo có thể đọc trực tiếp từ chính chiếc điện thoại", cơ quan của Thụy Sĩ viết vào tháng 11. "Vì không có cách nào biết để vượt qua khóa này, việc lừa đảo chủ sở hữu thông qua kỹ thuật xã hội là lựa chọn thực tế duy nhất của tội phạm".

Le Touz cho biết các nhà nghiên cứu Infoblox đã tạo ra "dấu vân tay DNS" cho tên miền lừa đảo họ nhận được và theo dõi các trang web giả mạo Apple khác. Một số trang web này đã lộ trang đăng nhập quản trị của chúng và cũng quảng cáo các công cụ mở khóa điện thoại. Cuối cùng, các nhà nghiên cứu đã xác định được nhiều nhóm trên Telegram đang thúc đẩy các dịch vụ "mở khóa".

Phản ứng từ các nền tảng

Mặc dù các dịch vụ này không đề cập rõ ràng đến việc sử dụng cho thiết bị bị đánh cắp, các chuyên gia cho rằng việc tích hợp các công cụ lừa đảo trong một số dịch vụ cho thấy chúng có khả năng không dành cho mục đích hợp pháp.

"Có rất nhiều cách để mở khóa điện thoại của chính bạn thông qua việc sử dụng hợp pháp Apple ID", ông Guido nói. Ông từng có một người bạn bị nhắm mục tiêu bởi các cuộc tấn công lừa đảo sau khi iPhone bị đánh cắp trong một quán bar. "Apple đã cung cấp con đường đúng đắn cho những người thực sự không thể vào được thiết bị của mình, nhưng những công cụ này không phục vụ mục đích nào cho những người đang cố gắng làm điều đó một cách hợp pháp".

Sau khi WIRED liên hệ với Telegram về các kênh mở khóa điện thoại, công ty này dường như đã loại bỏ một nửa số nhóm liên quan đến dịch vụ. Một người phát ngôn của Telegram cho biết nền tảng này có "quản lý hàng đầu trong ngành", nhưng không giải đáp trực tiếp về việc gỡ bỏ các nhóm này.

Apple không phản hồi yêu cầu bình luận của WIRED tại thời điểm xuất bản. Tuy nhiên, trong những năm gần đây, công ty đã tiếp tục cải thiện bảo mật thiết bị, khiến hầu hết các phương thức jailbreak trở nên lỗi thời và tăng cường khả năng phòng thủ cho các dòng iPhone mới hơn. Công ty cũng đã giới thiệu tính năng "Bảo vệ thiết bị bị đánh cắp" (Stolen Device Protection), khiến kẻ trộm khó thay đổi cài đặt trên điện thoại hơn — mặc dù cài đặt này có thể không được bật mặc định.

Ông Lyne từ Cảnh sát London khuyên: "Các bước đơn giản như kích hoạt tính năng chống trộm tích hợp, giữ cho phần mềm được cập nhật và sử dụng mật khẩu mạnh, đồng thời nâng cao cảnh giác về môi trường xung quanh khi sử dụng điện thoại ở nơi công cộng có thể làm giảm đáng kể thiệt hại nếu điện thoại bị đánh cắp".