Người dùng iPhone đừng kết nối tự động vào Wi-Fi

Dịch vụ thanh toán di động Apple Pay - Ảnh minh họa: DailyMail

Các nhà nghiên cứu tại công ty bảo mật di động Wandera đã công bố một nguy cơ bảo mật tiềm tàng trong hệ điều hành iOS có thể "tiếp tay" kẻ xấu đánh lừa người dùng cung cấp thông tin cá nhân và thẻ tín dụng với giao diện Apple Pay giả.

Lỗ hổng bảo mật này nằm ở cách các thiết bị iOS trên iPhone, iPad hay iPod Touch bật sẵn Wi-Fi và tự động kết nối vào các điểm truy cập mạng Wi-Fi miễn phí hay công cộng đã dùng trước đó. Kẻ xấu ở gần mục tiêu, có thể dựng các điểm truy cập giả mạo một mạng "đã dùng trước đó" để đánh lừa thiết bị, buộc nó kết nối vào mạng đó.

Sau đó, đẩy lên màn hình thiết bị một giao diện giả mạo ứng dụng hay bất kỳ trang web nào, yêu cầu cung cấp thông tin thẻ tín dụng vào Apple Pay "giả".

Khi kết nối Wi-Fi ở khách sạn, thư viện hay một số nơi công cộng, người dùng thường phải truy cập vào một trang web cổng thông tin trước khi được sử dụng Internet do nơi đó cung cấp.

Trang web này thường yêu cầu đăng nhập thông tin (số phòng, tên người dùng đối với mạng Wi-Fi khách sạn), hay một số thông tin khác, hoặc click vào trang web của họ trước mới thoải mái dùng Internet truy cập các website khác.

Theo đó, kẻ tấn công lợi dụng yếu tố này để đẩy trang giả mạo Apple Pay lấy cắp thông tin thẻ tín dụng mà nạn nhân ít cảnh giác.

Trang điền thông tin thẻ tín dụng giả mạo Apple Pay, có tiêu đề "Login" - Ảnh: Arstechnica

Trang điền thông tin thẻ tín dụng của Apple Pay - Ảnh: Arstechnica

Theo các nhà nghiên cứu tại Wandera, thậm chí những kẻ xấu có thể rảo xung quanh những điểm bán lẻ dùng máy POS (Point-of-sale) để thanh toán có hỗ trợ Apple Pay nhằm làm người tiêu dùng lầm tưởng Apple Pay thật sự yêu cầu dữ liệu thẻ để chi trả. Chúng có thể thực hiện liên tục các cuộc tấn công theo dạng thức trên để đánh cắp thông tin thẻ tín dụng của những nạn nhân.

Apple Pay là dịch vụ thanh toán di động, cho phép người dùng sử dụng những thiết bị di động của Apple như iPhone, iPad hay iPod Touch chi trả nhanh.

Ví dụ quẹt iPhone qua máy POS có hỗ trợ Apple Pay để trả tiền mua hàng nhanh chóng tại các điểm bán lẻ. Apple đang mở rộng giới thiệu Apple Pay sang thị trường châu Âu sau khi tuyên bố "năm nay là năm của Apple Pay", sau khi đẩy mạnh tiếp cận các nhà bán lẻ, đối tác tại Mỹ.

Các chuyên gia bảo mật khuyến cáo không bật chức năng tự động kết nối vào mạng Wi-Fi đã sử dụng trước đó. Tuy có thể mất thời gian nhập lại mật khẩu mỗi khi kết nối nhưng giúp bạn tránh được dạng tấn công lừa đảo như trên.

Nhóm nghiên cứu đã cảnh báo thông tin này đến Apple và cả Google.

Tấn công thử nghiệm do các chuyên gia bảo mật tại Wandera thực hiện - Ảnh: Wandera