[🍎] Bài học bảo mật từ một chiếc iPhone bị mất cắp
http://www.techz.vn/bai-hoc-bao-mat-tu-mot-chiec-iphone-bi-mat-cap-ylt53375.html
Từ chiếc iPhone mất cắp, kẻ trộm có thể tìm ra gmail, thay đổi mật khẩu
email của bạn và thậm chí là thực hiện các giao dịch ngân hàng trong
nháy mắt. Đây là bài học xương máu của một người vừa bị mất đi chiếc
điện thoại iPhone.
*Chúng tôi xin dẫn toàn văn bài chia sẻ từ nạn nhân của câu chuyện đặc biệt này*
Như
mọi người đã biết, hôm qua mình bị giật điện thoại. Nhưng thôi chuyện
giật điện thoại nói nhiều rồi, mình sẽ ko nói đến chuyện đó nữa. Giờ
mình sẽ nói về số phận của chiếc iPhone sau khi bị giật và những vấn đề
bảo mật liên quan.
Như mọi người đã biết, iPhone là một trong
những chiếc điện thoại phổ biến mà có tính bảo mật rất cao. Có một thứ
mà khiến bọn trộm cướp khá ngán iPhone hoặc khiến người dùng yên tâm khi
sử dụng iphone đó chính là iCloud.
Mỗi chiếc iphone được gắn với
một tài khoản iCloud của chủ nhân và cũng coi như là chứng minh quyền sở
hữu với thiết bị này. Tài khoản iCloud này không chỉ gắn chặt với
iPhone mà còn với tất cả các thiết bị khác trong hệ sinh thái của Apple,
từ đồng hồ, máy tính đến iPad.
Quay
trở lại với cái iPhone của mình sau khi bị giật, dĩ nhiên mình đã khoá
iCloud của điện thoại đưa điện thoại về chế độ "bị mất" - Lost mode. Có
nghĩa khi nào điện thoại online apple sẽ tự động thông báo địa điểm của
điện thoại về cho mình.
Và một khi iPhone bị khoá iCloud có nghĩa
là tên trộm ko thể truy cập vào điện thoại, dù có reset máy, cài lại
phần mềm hoặc làm bất kì cái gì mà ko có mật khẩu iCloud chính chủ thì
cái máy đó là đồ bỏ. Hay nói cách khác chiếc điện thoại 20 triệu chỉ có
cách rã máy ra bán linh kiện, chứ ko được bán như là một chiếc điện
thoại hoàn chỉnh nữa. Vậy nên khi đã mất điện thoại bảo vệ tài khoản
iCloud là vô cùng quan trọng.
Tuy nhiên, tay cướp điện thoại của
mình không phải dạng vừa. Ngay lập tức sau khi giật được điện thoại hắn
đã tắt điện thoại của mình. Mình thì mất khá nhiều thời gian để xử lý,
do đang ở ngoài đường, làm lại sim phải về nhà lấy giấy tờ tuỳ thân,
chưa kể hôm đó là chủ nhật. Rồi mình không thể đăng nhập được bất kì
mạng xã hội, hay email vì ko còn số điện thoại bên mình.
Nói
chung rất bế tắc. Mình mất 5 tiếng lòng vòng ngoài đường để mua điện
thoại mới, làm lại sim bắt taxi vì không có điện thoại gọi Uber (lúc này
mới nhận ra mình phụ thuộc vào điện thoại nhiều quá!). Mình bị giật lúc
gần 1 giờ chiều, đến hơn 6 giờ tối mình mới có đầy đủ sim điện thoại và
máy để check lại.
Trời ơi!! Bọn trộm quá chuyên nghiệp!
Mình
phát hiện ra email Gmail của mình đã bị đổi password và mình ko có
thiết bị nào bên người nên ko biết. Sau một buổi tối suy luận, điều tra
và thử mình kết luận hành trình phá máy của tên trộm như sau.
Bước 1:
Giật điện thoại. Dĩ nhiên.
Bước 2:
Hắn
sẽ lấy sim ra khỏi điện thoại của mình, cắm vào máy khác goi điện thoại
cho một máy khác nữa. Mục đích để biết được số điện thoại của mình là
gì.
Bước 3:
Sau khi hắn có được số điện
thoại, hắn sẽ Google số điện thoại của mình để tìm kiếm thông tin cá
nhân và hắn tìm được ra địa chỉ email của mình (hoàn toàn có thể ra
Facebook này nữa). Vậy là ở thời điểm này hắn có số điện thoại và địa
chỉ email của mình trong tay.
Bước 4: Reset Gmail.
Đa
phần mọi người đều dùng Gmail và mọi người đều hiểu cách reset gmail.
Sau khi yêu cầu đổi password, Google sẽ gửi một tin nhắn về sđt đã đăng
kí để xác thực. Và hắn có đủ điều kiện trong tay. Nên hắn đã chiếm được
Gmail của mình.
Vậy chiếm Gmail để làm gì? Để đọc email của mình?
Không!!!
Thông thường mọi người và mình cũng vậy chỉ sử dụng 1 email cho tất cả
mọi việc, nên hắn nghiễm nhiên có được Gmail của mình có nghĩa là có
được tên tài khoản iCloud vì mình dùng chính Gmail này đăng kí.
Sau khi chiếm được Gmail, hắn cố gắng chiếm luôn cả Apple ID nhưng bị tắc ở điểm này. Có cả email và số điện thoại nhưng vẫn chưa đủ. Cảm ơn Apple rất nhiều.
Bươc 5: Reset tài khoản iCloud.
Thông
thường có được Gmail của iCloud sẽ rất dễ. Vì chỉ cần vào website của
Apple kêu là mất mật khẩu iCloud của tài khoản Gmail đã đăng kí. Khi yêu
cầu mật khẩu mới, Apple sẽ gửi một email vào Gmail đó. Vậy là hắn có
ngay Apple ID và hắn sẽ dễ dàng gỡ iCloud ra khỏi máy của mình và đem đi
bán, và mình hoàn toàn thua bọn trộm. Câu chuyện sẽ kết thúc ở đây với
rất nhiều người.
Tuy nhiên Apple có một tính năng bảo mật rất hay
mà mình đang sử dụng được gọi là 2 factors authentication. Tính năng này
hiệu quả với người sử dụng nhiều thiết bị của Apple.
Khi bạn đăng
nhập iCloud trên một thiết bị mới, bạn sẽ cần xác thực từ một trong các
thiết bị cũ. Hoặc khi bạn reset mật khẩu bạn cũng cần xác thực từ một
trong những thiết bị khác đã có iCloud đó. Và dĩ nhiên tên trộm không
thể reset mật khẩu của mình vì hắn chỉ có iPhone của mình trong tay.
Ngoài
ra còn một cách khác giống Google đó là gửi tin nhắn xác thực về điện
thoại. Hắn đã chọn cách này để reset iCloud. Nhưng bất hạnh thay cho tên
cướp, mình có đăng kí Master Card của mình vào Apple ID nên Apple rất
cẩn thận. Muốn reset password cần thêm cả thông tin Master card (hình
mình hoạ). Đến đây hắn chịu!!! Ko có cách nào truy cập được vào Icloud
của mình nữa. Và đến thời điểm này mình cũng đã có sim mới nên sim cũ bị
khoá.
Tuy nhiên đến ngày hôm nay, hắn sử dụng bước 6.
Bước 6: Fishing - Câu mật khẩu.
Hắn
gửi cho mình một tin nhắn từ nước ngoài với nội dung đại loại là
"iPhone của bạn đã được locate, hãy đăng nhập để xem vị trí của iphone"
và dẫn link đến một trang web với giao diện y hệt Apple.
Tin nhắn câu mật khẩu nhìn như thế này đây. Cái này mình mới nhận được lúc chiều.
Nếu
bạn nhẹ dạ cả tin thì bạn đăng nhập vào để xem điện thoại của mình ở
đâu là dính chưởng ngay vì bạn đang tự cung cấp mật khẩu cho hắn. Và dĩ
nhiên đến nước này mình không ngu nữa rồi!!
Chúc m** bán được linh kiện giá cao, hoặc chờ sự phát triển của công nghệ phá máy trong mấy năm tới!
Bài học rút ra:
1.
Không cung cấp email và sđt tự do trên mạng. Hoặc ko sử dụng email và
sđt để đăng kí tài khoản quan trọng chung với email và sđt giao dịch.
Apple
một khi đã khoá máy thì sẽ không dễ dàng hiện ra email của iCloud. Vì
email sẽ được hiển thị dứoi dạng d*******@*****.com tên trộm sẽ không
biết được cả email của mình.
Tại sao hắn lại tìm ra được email?
Cái này là do mình. Ngày xưa hồi bé suy nghĩ rất ngây thơ, chả ai quan
tâm đến thông tin cá nhân của mình đâu, nên bừa phứa cho số điện thoại
và email lên các diễn đàn, rồi sử dụng cả 2 cái đó đi bán hàng online hộ
bố :(( Thế nên hắn dễ dàng tìm ra mình luôn. Cái này do mình ngu, và
chủ quan từ xưa.
2. Khoá Sim.
Mình rất chậm chân trong việc
đi khai báo mất sim, nên hắn sử dụng được số điện thoại của mình để
reset email, ngoài ra còn rất nhiều nguy cơ khác khi hắn có sđt của mình
như lừa đảo, tìm kiếm tài khoản ngân hàng blah blah...
Vậy nên
bây giờ sau bài học này mình đã khoá pin code của sim. Mỗi khi máy khởi
động lại hoặc mỗi khi rút sim ra khỏi máy cắm vào máy khác, sim sẽ đòi
passcode để có thể sử dụng. Nhập sai 3 lần sẽ bị khoá sim. Và phải đem
giấy tờ ra nhà mạng làm lại. Cái này không phù hợp với người bình
thường, nhưng rất tốt trong việc bảo mật.
Trong
iphone các bạn vào Setting->Phone->Simpin để bật pincode của sim
nhé. Khi nào cho sim vào máy mới hoặc restart máy, đều đòi pin. Sai 3
lần sẽ khoá sim.
Mỗi nhà mạng đều có sim pin mặc định riêng. Như viettel là 0000. Vina là 1111. Bạn cần biết chính xác pin mặc định là gì mới có thể đổi thành pin của riêng mình.
3. Luôn bật bảo mật 2 lớp cho tất cả tài khoản.
Đừng
nghĩ nó phiền, lúc xảy ra chuyện bạn mới thấy giá trị của nó. Gmail,
Apple cái gì cũng cần bảo mật hai lớp. Có nghĩa khi bạn đăng nhập bạn
cần approve (đồng thuận) từ một thiết bị đã đăng kí từ trước đó. Hoặc
cần số điện thoại để có thể đăng nhập. Khi kêt hợp với bài học số 2 sẽ
trở nên cực kì an toàn.
Riêng với Apple mình thật phục Apple, vì
với apple không bao giờ đủ. Hắn có email, có số điện thoại nhưng không
thể reset nổi password của mình. Vậy nên mình khuyên các bạn nên add thẻ
tín dụng vào apple Id vì đó cũng là thêm một lớp bảo mật nữa cho các
bạn. Mình đã được cứu. Các bạn tin mình đi (hình mình hoạ).
4. Khi đã sử dụng bảo mật 2 lớp thì phải lưu mother code "code gốc".
Khi
tạo bảo mật 2 lớp, thì bao giờ họ cũng cung cấp code gốc, bạn viết ra
giấy cất kĩ đi vì lúc mất điện thoại mất hết thiết bị, bạn sẽ cần đến
nó.
5. Không bao giờ tin vào tin nhắn thông báo (hình minh hoạ).
Bạn phải kiếm tra đi, kiếm tra lại rồi mới cung cấp thông tin như mật khẩu vào những địa chỉ được gửi đến.
Trang iCloud giả với thiết kế như thật. Chỉ khác là cái đường link. Chú ý đường link nhé cả nhà.
Như bạn thấy link mình được gửi là http://dectectphone.com đây hoàn toàn không phải link của Apple. Apple chỉ có các địa chỉ như apple.comicloud.com chứ không bao giờ có cái link chung chung như thế kia.
Đây là trang iCloud thật với dấu xác thực màu xanh của apple ở trên góc.
Ngoài ra khi vào một trang web được xác thực luôn có biểu tượng tin cậy ở trên trình duyệt.
Chúc
các bạn không bao giờ bị giật điện thoại. Và nếu có bị giật rồi thì
cũng không để cho bọn trộm đắc thắc. Nếu ai cũng khiến việc tiêu thụ
iphone ăn trộm trở nên khó khăn, một ngày nào đó không xa việc ăn trộm
không phải là một việc quá lời để nhiều ng liều mình thế
Theo: Dino Vũ
Comments
Post a Comment