Xác thực 2 yếu tố (2FA) đã trở thành tính năng bảo mật tiêu chuẩn trong an ninh mạng. Hình thức này yêu cầu người dùng xác minh danh tính của họ bằng một bước xác thực thứ hai, thường là mật khẩu dùng một lần (OTP) được gửi qua tin nhắn văn bản, email hoặc ứng dụng xác thực. Lớp bảo mật bổ sung này nhằm mục đích bảo vệ tài khoản của người dùng ngay cả khi mật khẩu của họ bị đánh cắp.
.jpg)
Ảnh minh họa. (Nguồn ảnh: Internet)
Nhiều chuyên gia khuyến nghị nên bảo mật thông tin bằng xác thực 2 yếu tố cho tất cả tài khoản trực tuyến, tuy nhiên biện pháp này đang dần trở nên yếu đi, khi tội phạm mạng ngày càng tinh vi.
Mới đây, các chuyên gia bảo mật an ninh mạng Kaspersky đã phát hiện ra các hình thức tấn công giả mạo (phishing) được tội phạm mạng sử dụng để vượt 2FA.
Theo đó, những kẻ tấn công mạng đã thay đổi hình thức tấn công mạng tinh vi hơn, bằng cách kết hợp phishing với bot OTP tự động để đánh lừa người dùng và truy cập trái phép vào tài khoản của họ.
Hình thức phổ biến là dùng ứng dụng phần mềm tự động (Bot OTP) gọi đến nạn nhân, mạo danh là nhân viên của một tổ chức đáng tin cậy, sử dụng kịch bản hội thoại được lập trình sẵn để thuyết phục nạn nhân tiết lộ mã OTP. Cuối cùng, kẻ tấn công nhận được mã OTP thông qua bot và sử dụng nó để truy cập trái phép vào tài khoản của nạn nhân.
Trong khoảng thời gian từ ngày 1/3 đến ngày 31/5 năm 2024, các giải pháp bảo mật của Kaspersky đã ngăn chặn được 653.088 lượt truy cập vào các trang web được tạo ra bởi bộ công cụ phishing nhắm vào các ngân hàng. Dữ liệu đánh cắp từ các trang web này thường được sử dụng trong các cuộc tấn công bằng bot OTP. Cũng trong khoảng thời gian đó, các chuyên gia đã phát hiện 4.721 trang web phishing do các bộ công cụ tạo ra nhằm mục đích vượt qua xác thực hai yếu tố theo thời gian thực.
Bà Olga Svistunova, chuyên gia bảo mật của Kaspersky nhận định: "Tấn công phi kỹ thuật (social engineering) được xem là phương thức lừa đảo cực kỳ tinh vi, đặc biệt là với sự xuất hiện của bot OTP với khả năng mô phỏng một cách hợp pháp các cuộc gọi từ đại diện của các dịch vụ. Để luôn cảnh giác, điều quan trọng là phải duy trì sự thận trọng và tuân thủ các biện pháp bảo mật. Thông qua nghiên cứu và đổi mới liên tục, Kaspersky cung cấp các giải pháp bảo mật tiên tiến nhằm bảo vệ người dùng trong thời đại kỷ nguyên số bùng nổ".
Mặc dù 2FA là biện pháp bảo mật quan trọng, nhưng nó không hoàn toàn giải pháp tối ưu. Để bảo vệ người dùng khỏi những trò lừa đảo tinh vi này, các chuyên gia an ninh mạng khuyến nghị:
- Tránh nhấp vào các liên kết trong tin nhắn email đáng ngờ. Nếu người dùng cần đăng nhập tài khoản của mình vào một tổ chức bất kỳ, hãy nhập chính xác địa chỉ trang web đó hoặc sử dụng dấu trang đã lưu (bookmark).
- Hãy đảm bảo địa chỉ website chính xác và không có lỗi đánh máy. Bạn có thể sử dụng công cụ Whois để kiểm tra thông tin đăng ký website. Nếu website mới được đăng ký gần đây, khả năng cao đây là trang web lừa đảo.
- Không bao giờ cung cấp mã OTP qua điện thoại, bất kể người gọi có vẻ thuyết phục đến mức nào. Các ngân hàng và tổ chức uy tín khác không bao giờ yêu cầu người dùng đọc hoặc nhập mã OTP qua điện thoại để xác minh danh tính.
