Xác thực 2 yếu tố (2FA) là một biện pháp bảo mật tiêu chuẩn trong an ninh mạng, giúp người dùng bảo vệ tài khoản của mình ngay cả khi mật khẩu bị đánh cắp. Tuy nhiên, trong thời gian gần đây, các hacker đang tìm cách vượt qua “bức tường” này bằng các biện pháp tấn công lừa đảo tinh vi.
Xác thực 2 yếu tố yêu cầu người dùng xác minh danh tính bằng một bước xác thực thứ hai sau khi nhập mật khẩu. Bước xác thực này thường là mật khẩu dùng một lần (OTP) được gửi qua tin nhắn văn bản, email hoặc ứng dụng. Lớp bảo mật bổ sung này được thiết kế để đảm bảo tài khoản của người dùng vẫn an toàn ngay cả khi mật khẩu chính bị lộ.
Tấn Công Phi Kỹ Thuật
Theo báo cáo từ Kaspersky, từ ngày 1/3 đến ngày 31/5/2024, đơn vị này đã ngăn chặn 653.088 lượt truy cập vào các trang web lừa đảo do bộ công cụ phishing tạo ra, nhắm vào các ngân hàng. Trong cùng khoảng thời gian, Kaspersky đã phát hiện 4.721 trang web lừa đảo có mục đích vượt qua biện pháp xác thực 2 yếu tố.
Khi nạn nhân nhập tên đăng nhập và mật khẩu vào website giả mạo, kẻ lừa đảo sẽ thu thập thông tin ngay lập tức và sử dụng nó để đăng nhập vào tài khoản của nạn nhân. Sau đó, chúng sẽ kích hoạt việc gửi mã OTP đến điện thoại của nạn nhân.
Một chiêu trò mới của kẻ lừa đảo là sử dụng bot OTP để lừa người dùng tiết lộ mã OTP. Những con bot này sẽ gọi điện đến nạn nhân, mạo danh nhân viên của một tổ chức đáng tin cậy, và sử dụng kịch bản hội thoại để thuyết phục nạn nhân tiết lộ mã OTP. Hacker sau đó sẽ sử dụng mã OTP này để truy cập trái phép vào tài khoản của nạn nhân.
Bot OTP Và Sự Tinh Vi
Kẻ lừa đảo ưu tiên sử dụng cuộc gọi thoại thay cho tin nhắn, vì nạn nhân có xu hướng phản hồi nhanh hơn khi nghe giọng nói. Bot OTP được lập trình để mô phỏng giọng điệu và sự khẩn trương của con người, tạo cảm giác tin cậy và thuyết phục.
Những con bot OTP có thể được điều khiển trực tuyến hoặc thông qua nền tảng nhắn tin như Telegram, đi kèm với nhiều tính năng và gói đăng ký khác nhau. Kẻ tấn công có thể tùy chỉnh tính năng của bot để mạo danh các tổ chức, sử dụng đa ngôn ngữ và thậm chí chọn tông giọng nam hoặc nữ. Các tùy chọn nâng cao còn bao gồm giả mạo số điện thoại hiển thị giống như đến từ một tổ chức hợp pháp.
Để không trở thành nạn nhân của các cuộc tấn công lừa đảo này, người dùng cần thực hiện các biện pháp phòng ngừa sau:
- Tránh nhấp vào các đường link đáng ngờ được gửi qua email, tin nhắn.
- Kiểm tra thông tin về đơn vị chủ quản trang web bằng công cụ Whois trước khi truy cập lần đầu.
- Gõ địa chỉ các trang mạng xã hội hay ngân hàng một cách chính xác để tránh truy cập vào website giả mạo.
- Sử dụng dấu trang để lưu lại các website truy cập thường xuyên thay vì tìm kiếm trên Google.
- Nhớ rằng các ngân hàng và ví điện tử uy tín không bao giờ hỏi mã OTP của người dùng. Trong mọi trường hợp, không cung cấp mã OTP cho người khác, đặc biệt là qua các cuộc gọi, tin nhắn, bất kể nội dung thông tin có vẻ thuyết phục đến đâu.
Mặc dù xác thực 2 yếu tố bằng mã OTP là một biện pháp bảo mật quan trọng, nhưng người dùng cần luôn cảnh giác với các chiêu trò lừa đảo ngày càng tinh vi của hacker. Việc nắm rõ các biện pháp phòng ngừa và cảnh giác cao độ sẽ giúp bảo vệ tài khoản của bạn trước những mối đe dọa tiềm ẩn.
2 thủ thuật đánh cắp dữ liệu ngân hàng tinh vi trên smartphone, người dùng Việt cần cẩn trọng