Nhiều topic trên diễn đàn hỗ trợ của Apple cho biết, các cuộc tấn công xuất hiện trên hệ thống iCloud nhằm vô hiệu hóa các thiết bị. Sau khi bị xâm nhập, máy thường phát ra một âm thanh lớn đặc trưng, đó là tính năng liên kết với người dùng, giúp xác định vị trí bị mất hoặc bị đánh cắp.

Tiếp đó, màn hình iPhone và iPad này hiển thị thông điệp: "Máy bị tấn công bởi Oleg Pliss, để mở khóa, bạn cần gửi từ 100 USD hoặc EUR (thông qua Moneypack/Ukash/PaySafeCard) email: lock404@hotmail.com".

Nhiều chiếc iPhone tại Australia bị khóa và đòi tiền chuộc. Ảnh: Simon Yeo.

Trong một số trường hợp đặc biệt, khi người dùng không có mật mã từ nhà cung cấp để mở khóa thiết bị - thì điều duy có thể làm là thiết lập lại hệ thống của máy “Factory reset”. Tuy nhiên, điều này sẽ xóa sạch các ứng dụng và dữ liệu.

Theo các nhà điều tra, phần mềm được dùng để xâm nhập vào các thiết bị là biến thể của ứng dụng Ransomware. Mục tiêu ban đầu được nhắm đến là người dùng Windows PC. Tuy nhiên, đầu tháng này chúng đã chuyển sang người dùng smartphone.

Các diễn đàn đã cung cấp những bằng chứng cho thấy, kẻ tấn công đã xâm nhập vào Apple ID bằng mật khẩu của nạn nhân để khóa kết nối từ xa thông qua hệ thống “Find My iPhone”của Apple.

Hiện tại, vẫn chưa có thông tin chính xác, bằng cách nào những kẻ tấn công có thể xâm nhập vào các tài khoản iCloud.

DNS và những giả thuyết

Có thể những tên hacker đã sử dụng thủ đoạn xâm nhập vào thiết bị bằng cách gửi thư điện tử có chứa phần mềm tự động cung cấp thông tin của người dùng mỗi khi hệ thống email được kích hoạt.

Tuy nhiên, những lời giải thích trên đã bị bác bỏ bởi đại đa số các nạn nhân được xác định là ở Australia và sử dụng e-mail từ nhiều nhà cung cấp khác nhau.

Nhiều giả thuyết được đưa ra xác định sự việc này. Ảnh: Mike Lau.

Trong các cuộc thảo luận trực tuyến về nguyên nhân và phương thức hoạt động của các hacker, họ cho rằng, hacker có thể đã xâm nhập vào tên miền (DNS) từ hệ thống các máy chủ. Theo đó, máy chủ các nhà cung cấp dịch vụ tại Australia giúp phiên dịch các địa chỉ như Apple.com thành các IP định tuyến trên Internet.

Việc xâm nhập và sữa đổi dữ liệu hệ thống thông qua các bảng thông tin của máy chủ DNS để bí mật trực tiếp đưa người dùng đến các trang web giả mạo là điều không đơn giản. Tuy nhiên, hiện vẫn chưa xác nhận liệu giả thuyết được đưa ra có đúng trong trường hợp này.

Một giả thuyết khác cho rằng, có thể chính những máy chủ của Apple tại Úc đã bị các hacker này tấn công. Người dùng sau khi đăng nhập mật khẩu vào các trang web của Apple, vô tình cung cấp thông tin cho chúng.

Apple vẫn chưa lên tiếng chính thức trong chuyện này. Không có dấu hiệu nào cho thấy các máy chủ của Apple đã thỏa hiệp để cung cấp thông tin ra bên ngoài.

Hiện vẫn chưa xác định danh tính người đứng sau việc này. Ảnh: Simon Yeo.

Người dùng iPhone và iPad được khuyên nên sử dụng mật khẩu được tạo ngẫu nhiên và duy nhất cho mỗi thiết bị trên tài khoản iCloud của họ. Nên thường xuyên khóa tài khoản Apple ID khi ứng dụng "Find My iPhone" đang chạy.

Trong khi đó, tên của Oleg Pliss - người đứng sau những vụ việc này vẫn chưa được xác định.

iPhone và iPad bị khóa nên cố gắng thay đổi các thông tin Apple ID và đảm bảo xác thực thêm các yếu tố được thiết lập. Trong trường hợp máy bị khóa không có một mã khóa để liên kết, người dùng nên reset lại hệ thống của thiết bị bằng cách sử dụng cáp để kết nối với máy tính thông qua iTunes.