coincuatui-banner

Vụ Hack Apple Id gây cho tôi nỗi ám ảnh, tiết lộ những nguy cơ của việc tập trung quyền kiểm soát danh tính

Vụ Hack Apple Id gây cho tôi nỗi ám ảnh, tiết lộ những nguy cơ của việc tập trung quyền kiểm soát danh tính

Một vi phạm Apple ID có thể khiến bạn bị bất lực đối với việc ngăn chặn kẻ tấn công xem xét và đánh cắp nội dung cuộc sống của bạn.

My traumatic Apple ID hack showed pitfalls of centralized identity

Tôi là mục tiêu của một vụ tấn công tinh vi vào Apple ID của mình gây ra thiệt hại đáng kể về mặt cảm xúc và tài chính. Lý lịch của tôi là một doanh nhân công nghệ giúp tôi hiểu được tầm quan trọng của xác thực đa yếu tố và các dấu hiệu cảnh báo của SIM swap và đã có các biện pháp phòng ngự. Mặc dù có sự cảnh giác này, tôi đã trở thành nạn nhân của một cuộc tấn công động viên vào một buổi tối trong tháng Một năm ngoái, một cách đau đớn cho thấy rằng điều này có thể xảy ra với bất kỳ ai.

Tôi đã có Apple ID của mình từ khi nó được phát minh. Tôi đã mua hàng hàng chục nghìn — có lẽ hàng trăm nghìn — đô la phần mềm, phim, chương trình truyền hình, phần cứng. Đột nhiên, tôi được thông báo về 15.000 lần thử đăng nhập. Nó đơn giản là "Boom, boom, boom." Tôi nhấn "Không cho phép, không cho phép, không cho phép...

Sau đó, tôi đã được gọi điện thoại bởi một người tự xưng làm việc cho bộ phận kỹ thuật của Apple. Họ có thông tin chi tiết về số lượng thiết bị mà tôi sở hữu và lần cuối khi chúng được sử dụng — ngay cả nơi mà các lần thử đăng nhập đến. Rất nhiều nạn nhân không nghi ngờ sẽ thấy cuộc gọi này đáng tin cậy, nhưng có điều gì đó không phải của tôi. Anh ấy nói, "Tôi sẽ gửi cho bạn một mã" — và tôi trả lời, "Tôi sẽ không cho bạn nó."

Liên quan: Các nhà lãnh đạo trong lĩnh vực tiền điện tử nên ngừng coi trọng với CBDC

Mã sau đó được gửi đến điện thoại của tôi — từ cùng một số mà Apple đã sử dụng để gửi mã xác minh trong quá khứ. Tôi quyết định gọi trực tiếp Apple để tìm hiểu vấn đề, nhưng cơn ác mộng chỉ mới bắt đầu. Kẻ tấn công đã có thể truy cập vào tài khoản của tôi.

Tôi giải thích về những gì đang xảy ra, nhưng người phụ nữ từ Apple cơ bản chỉ nói với tôi, "Chấp nhận những mất mát của bạn." Xin lỗi? Nghĩa là sao? Tôi hiểu mình có kỹ năng kỹ thuật — tôi biết rằng Apple ID của tôi có thể đã mất mãi mãi. Điều đó không có nghĩa là không có những vấn đề lớn hơn đang diễn ra. Tôi đã có những thẻ không thể thay thế (NFTs) và nghệ thuật đã giữ trong hai năm. Tôi có quyền truy cập vào nhiều tài khoản doanh nghiệp, tài khoản môi giới — tất cả mọi thứ. Và cô ấy cứ lặp đi lặp lại lời, "Chấp nhận mất mát của bạn, chấp nhận mất mát của bạn, chấp nhận mất mát của bạn."

Một hình minh họa của Wall Street Journal năm 2023 cho thấy làm thế nào các tài khoản Apple có thể bị tấn công nếu kẻ tấn công giữ mật khẩu của iPhone. Nguồn: Wall Street Journal

Tôi đang ở trong một cuộc đua với thời gian để bảo vệ tài sản của mình và bắt đầu chuyển tiền được bảo đảm của mình đến một nơi an toàn, nhưng tiền số của tôi đã được chuyển đến một ví tiền mà tôi không kiểm soát và được thanh lý. Sau đó tôi nhận được một cuộc gọi từ một người giấu danh tính sử dụng thiết bị biến âm thanh với một tin nhắn đáng sợ: "Kiểm tra Telegram của bạn."

Các tin nhắn được gửi nói rằng Apple ID và tài sản của tôi sẽ được trả lại nếu các số điện thoại và địa chỉ email của ba người khác được đưa ra. Nhưng tôi từ chối, nói với kẻ tấn công rằng anh đã chọn người sai.

Tôi bắt đầu tweet về tình hình, và kẻ tấn công hoảng sợ. Anh ta đe dọa rằng sẽ rò rỉ hình ảnh của con gái tôi mới 4 tháng tuổi, vì vậy tôi đã gỡ tweet xuống.

Họ tiếp tục gửi tin nhắn và sau đó tôi được nói rằng tôi sẽ nhận lại Apple ID của mình miễn là tôi không đăng trực tuyến trong 48 giờ. Nhưng ba ngày sau đó, mục tiêu đã được di chuyển một lần nữa. Bây giờ kẻ tấn công đòi $50.000.

"Thường là tôi tìm kiếm những người thường xuyên có quan hệ tình cảm ngoài luồng, làm điều gì đó sai hoặc có thông tin nhạy cảm mà tôi thu nạp họ," kẻ tội phạm mạng nói với tôi.

Tháng kinh hoàng

Trong ba tháng tiếp theo, kẻ tấn công đã cố gắng tống tiền và đe dọa tôi — căng thẳng mà tôi đã phải giấu kín trước vợ và con gái. Để làm cho mọi thứ tồi tệ hơn, giới hạn rút tiền của Amex và Chase của tôi bị cắt giảm, và chỉ số tín dụng của tôi giảm mạnh.

Không chùn bước, tôi tiếp tục trao đổi tin nhắn và cuộc gọi với người đã đánh cắp danh tính của mình, tích lũy hàng tỷ byte bằng chứng.

Mãi cho đến bây giờ tôi không biết rằng các vạch tường đã đóng cửa trên kẻ tấn công. Tội phạm đã nằm trong tầm ngắm của cảnh sát sau khi bị cáo buộc về một vụ SIM swap — và thám tử sớm nhận ra rằng đây chỉ là phần nổi của tảng băng. Do tiền đã bị đánh cắp đã được sử dụng trên ứng dụng Cash và Venmo, các nhà điều tra đã kết nối các điểm và xác định tôi là một nạn nhân. Khi một đặc vụ FBI gọi điện, tôi có thể cung cấp một mô tả chi tiết về người chịu trách nhiệm — và đó đã đủ để có một lệnh truy nã. Họ đã đến và đột nhập vào nhà anh ấy. Người đó đã dùng tên tôi vào Apple ID.

Liên quan: Jerome Powell's pivot heralds a boring summer for Bitcoin

Sau này, cuộc điều tra đã phát hiện rằng có khoảng 20 nạn nhân khác. Hầu hết họ là phụ nữ. Vào trong điều nhạy cảm. Tôi đã nhận được một cuộc gọi từ quan chức phải đối mặt với một cá nhân như thế nào. Cô ấy nói cô ấy đã tiếp xúc với kẻ giết người hàng loạt, kẻ giết người... người xấu, và cô ấy chưa bao giờ có cảm giác tồi tệ hơn khi tương tác với người này.

Tôi là nạn nhân duy nhất không sợ phát biểu — và cung cấp một tuyên bố bằng văn bản cho tòa án. Sức mạnh của những lời này đã dẫn đến thẩm phán kéo dài án tù lên tám năm không điều kiện, mặc dù kẻ hack đã thú nhận và mồi... người đồng phạm của mình. Hiện tại vẫn còn một vụ án liên bang đang chờ xử, vì vậy anh ấy sẽ ở trong tù trong một thời gian. Đó là một lãng phí của cuộc sống.

Bảo vệ danh tính kỹ thuật

Đó là một trong những trải nghiệm đau đớn nhất trong cuộc

Nguồn: Cointelegraph

Xem thêm