Nhà cung cấp ví tiền điện tử MetaMask đã đưa ra cảnh báo tới cộng đồng về các cuộc tấn công lừa đảo trên iCloud của Apple.Vấn đề bảo mật đối với người dùng iPhone, Mac và iPad có liên quan đến cài đặt thiết bị mặc định seed phrase của người dùng hay “vault MetaMask được mã hóa bằng mật khẩu” được lưu trữ trên iCloud nếu người dùng bật sao lưu tự động cho dữ liệu ứng dụng.
Trong một chủ đề Twitter được đăng vào ngày 18 tháng 4, MetaMask lưu ý rằng người dùng có nguy cơ mất tiền nếu mật khẩu Apple của họ “không đủ mạnh” và kẻ tấn công có thể lấy cắp thông tin đăng nhập tài khoản.
You can disable iCloud backups for MetaMask specifically by turning off the toggle here:
Settings > Profile > iCloud > Manage Storage > Backups.
2/3— MetaMask 🦊💙 (@MetaMask) April 17, 2022
Cảnh báo trên đã được MetaMask phát hiện ra sau khi có vụ việc một nhà sưu tập NFT bị mất toàn bộ kho NFT trị giá hơn 650.000 USD của mình vì bị xâm nhập iCloud.
5) The scammer will have access to the victim’s iCloud account, giving them free access to everything, including all the data MetaMask stores on iCloud
Total stolen:
132.86 ETH ($402,988 USD)
252,400 USDT
—————–
$655,388— Serpent (@Serpent) April 17, 2022
Họ lưu ý rằng nạn nhân đã nhận được nhiều tin nhắn văn bản yêu cầu đặt lại mật khẩu Apple ID của mình cùng với một cuộc gọi được cho là từ Apple mà cuối cùng là một ID người gọi giả mạo.
- Scammer gửi tin nhắn bằng nhiều số điện thoại lạ yêu cầu thay đổi mật khẩu, gây tâm lý hoang mang cho nạn nhân.
- Sau đó sử dụng spoofer ID người gọi và gọi nạn nhân, tự nhận là Apple và nói rằng có hoạt động đáng ngờ trên tài khoản
- Yêu cầu đặt lại mật khẩu cho ID Apple
- Kẻ lừa đảo sẽ hỏi nạn nhân mã truy cập, nói đó là để xác minh họ là chủ sở hữu thực sự của ID Apple, trong khi thực tế họ đang sử dụng mã đó để đặt lại mật khẩu của nạn nhân.
- Kẻ lừa đảo sẽ có quyền truy cập vào tài khoản iCloud của nạn nhân, cho phép họ truy cập miễn phí vào mọi thứ, bao gồm tất cả dữ liệu Metamask lưu trữ trên iCloud
Sau khi nhận được mã 2FA, kẻ tấn công đã đặt tại tài khoản Apple của nạn nhân và chiếm được quyền vào iCloud, trích xuất dữ liệu mật khẩu ví MetaMask và lấy đi toàn bộ tài sản có trong ví.Tổng số tiền bị đánh cắp là $655,388
Với sự việc xảy ra, các nhà đầu tư tiền mã hóa và NFT nên lưu ý rằng không bao giờ được cung cấp bất kỳ loại mã xác minh nào cho người khác, kể cả đó là những công ty uy tín như Apple.