Cảnh báo về các hình thức tấn công giả mạo để vượt xác thực 2 yếu tố

Các chuyên gia an ninh mạng của Kaspersky đã phát hiện ra các hình thức tấn công giả mạo (phishing) được tội phạm mạng sử dụng để vượt xác thực 2 yếu tố (2FA), vốn là một biện pháp bảo mật quan trọng được thiết kế để bảo vệ tài khoản trực tuyến.

Gia tăng hình thức tấn công giả mạo mới

Xác thực 2 yếu tố đã trở thành tính năng bảo mật tiêu chuẩn trong an ninh mạng. Hình thức này yêu cầu người dùng xác minh danh tính của họ bằng một bước xác thực thứ 2, thường là mật khẩu dùng một lần (OTP) được gửi qua tin nhắn văn bản, email hoặc ứng dụng xác thực.

Lớp bảo mật bổ sung này nhằm mục đích bảo vệ tài khoản của người dùng ngay cả khi mật khẩu của họ bị đánh cắp. Tuy nhiên, kẻ lừa đảo đã sử dụng các cách thức đầy tinh vi để lừa người dùng tiết lộ các OTP này, cho phép họ vượt qua các biện pháp bảo vệ 2FA, thông qua bot OTP.

Bot OTP là một công cụ tinh vi được kẻ lừa đảo sử dụng để ngăn chặn mã OTP thông qua hình thức tấn công phi kỹ thuật. Kẻ tấn công thường cố gắng lấy cắp thông tin đăng nhập của nạn nhân bằng các phương thức như phishing hoặc khai thác lỗ hổng dữ liệu để đánh cắp thông tin.

Sau đó, chúng đăng nhập vào tài khoản của nạn nhân, kích hoạt việc gửi mã OTP đến điện thoại của nạn nhân. Kế đến, bot OTP sẽ tự động gọi đến nạn nhân, mạo danh là nhân viên của một tổ chức đáng tin cậy, sử dụng kịch bản hội thoại được lập trình sẵn để thuyết phục nạn nhân tiết lộ mã OTP. Cuối cùng, kẻ tấn công nhận được mã OTP thông qua bot và sử dụng nó để truy cập trái phép vào tài khoản của nạn nhân.

Kẻ lừa đảo ưu tiên sử dụng cuộc gọi thoại hơn tin nhắn vì nạn nhân có xu hướng phản hồi nhanh hơn khi áp dụng hình thức này. Theo đó, bot OTP sẽ mô phỏng giọng điệu và sự khẩn trương của con người trong cuộc gọi nhằm tạo cảm giác đáng tin cậy và tính thuyết phục.

Để sử dụng bot OTP, kẻ lừa đảo cần đánh cắp thông tin đăng nhập của nạn nhân trước. Chúng thường sử dụng các trang web phishing được thiết kế giống hệt với các trang đăng nhập hợp pháp của ngân hàng, dịch vụ email hoặc các tài khoản trực tuyến khác. Khi nạn nhân nhập tên đăng nhập và mật khẩu của họ, kẻ lừa đảo sẽ tự động thu thập thông tin này ngay lập tức (theo thời gian thực).

Theo thống kê của Kaspersky, từ ngày 1.3 đến 31.5.2024, các giải pháp bảo mật của họ đã ngăn chặn được 653.088 lượt truy cập vào các trang web được tạo ra bởi bộ công cụ phishing nhắm vào các ngân hàng.

Dữ liệu đánh cắp từ các trang web này thường được sử dụng trong các cuộc tấn công bằng bot OTP. Cũng trong khoảng thời gian đó, công ty an ninh mạng này đã phát hiện 4.721 trang web phishing do các bộ công cụ tạo ra nhằm mục đích vượt qua xác thực hai yếu tố theo thời gian thực.

Giải pháp

Mặc dù 2FA là biện pháp bảo mật quan trọng, nhưng nó không hoàn toàn giải pháp tối ưu. Để bảo vệ người dùng khỏi những trò lừa đảo tinh vi này, các chuyên gia an ninh mạng khuyến nghị:

. Tránh nhấp vào các liên kết trong tin nhắn email đáng ngờ. Nếu người dùng cần đăng nhập tài khoản của mình vào một tổ chức bất kỳ, hãy nhập chính xác địa chỉ trang web đó hoặc sử dụng dấu trang đã lưu (bookmark).

. Hãy đảm bảo địa chỉ website chính xác và không có lỗi đánh máy. Bạn có thể sử dụng công cụ Whois để kiểm tra thông tin đăng ký website. Nếu website mới được đăng ký gần đây, khả năng cao đây là trang web lừa đảo.

. Không bao giờ cung cấp mã OTP qua điện thoại, bất kể người gọi có vẻ thuyết phục đến mức nào. Các ngân hàng và tổ chức uy tín khác không bao giờ yêu cầu người dùng đọc hoặc nhập mã OTP qua điện thoại để xác minh danh tính.

Nguyễn Đăng