5 cách tin tặc vượt qua xác thực hai yếu tố

16:32, 24/09/2024

Xác thực hai yếu tố (2FA) từng được xem là lá chắn vững chắc bảo vệ tài khoản của người dùng. Tuy nhiên, với sự tinh vi ngày càng tăng của các cuộc tấn công mạng, lớp bảo vệ này đang dần trở nên mong manh.

Tin tặc không ngừng tìm cách để xâm nhập vào hệ thống, đánh cắp thông tin cá nhân và tài sản số của người dùng. Từ những chiêu trò lừa đảo tinh vi đến các cuộc tấn công kỹ thuật phức tạp, nguy cơ mất tài khoản luôn rình rập ngay cả khi người dùng đã bật tính năng 2FA. Do đó, việc chỉ dựa vào mật khẩu để bảo vệ tài khoản cá nhân rõ ràng là không đủ trong bối cảnh hiện nay. Dưới đây là 5 cách tin tặc vượt qua xác thực hai yếu tố.

Tấn công bằng phương thức lừa đảo

Kết nối giữa người dùng và tài khoản trực tuyến thường được bảo vệ bằng giao thức bảo mật Transport Layer Security (TLS) an toàn. Nó được thiết kế để đảm bảo không ai có thể tấn công vào kết nối này. Dù vậy, tin tặc có thể thực hiện cuộc tấn công Man in the middle (MITM) xen giữa máy của người dùng và máy chủ để lừa đảo.

Cụ thể, tin tặc sẽ thiết kế một website giả mạo giống với trang thật để lừa người dùng điền thông tin đăng nhập. Không chỉ đánh cắp tên và mật khẩu, kỹ thuật tấn công này còn lừa người dùng cung cấp luôn mã 2FA. Do đó, người dùng cần tỉnh táo, xem kỹ liên kết và không cung cấp bất cứ thông tin đăng nhập nào nếu thấy nghi ngờ. Sau đó, có thể tìm kiếm trên Google để xác định website dịch vụ thật mà mình đang dùng.

Lừa người dùng tải phần mềm độc hại

Một biến thể của kỹ thuật MITM là sử dụng phần mềm độc hại nhúng trực tiếp vào trình duyệt. Mã độc chờ cho đến khi người dùng đăng nhập vào ngân hàng, nhập 2FA, sau đó thao túng giao dịch chuyển tiền ở chế độ nền. Một số phần mềm độc hại dạng này có thể kể đến là Carberp, Emotet, Spyeye và Zeus.

Trong trường hợp này, người dùng cần kiểm tra lại thông báo chuyển khoản trước khi bấm chuyển tiền, đồng thời thường xuyên dùng phần mềm quét virus trên thiết bị.

Gọi điện trực tiếp

Trong một số trường hợp, kẻ tấn công đã biết tên người dùng và mật khẩu của nạn nhân thông qua các kênh mua bán dữ liệu, darkweb hoặc đánh cắp được bằng phần mềm độc hại. Dù có thông tin tài khoản, chúng vẫn cần 2FA để xác thực. Lúc này, chúng có thể tạo kịch bản gọi trực tiếp tới người dùng qua số điện thoại bị lộ.

Kịch bản quen thuộc nhất là đóng vai nhân viên ngân hàng hoặc nơi dịch vụ đang cung cấp, giả danh công an nhằm dụ mục tiêu họ cung cấp 2FA, chẳng hạn "giới thiệu một quy trình bảo mật mới", "nâng cấp, chuyển đổi tài khoản" và cần mã xác thực. Nếu không tỉnh táo, người dùng có thể sập bẫy.

Các chuyên gia cảnh báo, nhân viên dịch vụ và cơ quan chức năng không bao giờ yêu cầu người dùng cung cấp thông tin bí mật như vậy, do đó không nên giao mã 2FA cho bất kỳ ai qua điện thoại.

Hoán đổi sim

Mật khẩu dùng một lần (OTP) từng có thời gian thịnh hành khi người dùng chỉ cần mã này được gửi về sim điện thoại là có thể đăng nhập tài khoản, bên cạnh bước đầu tiên là nhập mật khẩu. Tuy nhiên, tin tặc đã có thể hoán đổi sim.

Cụ thể, tin tặc dùng thủ thuật lừa nhà mạng chuyển số điện thoại của nạn nhân sang thẻ sim do chúng kiểm soát. Nếu tài khoản trực tuyến sử dụng phương thức xác thực qua số điện thoại bằng OTP, chúng dễ dàng đánh cắp và đổi thông tin tài khoản đã đăng ký nếu hoán đổi sim thành công. Các chuyên gia cho rằng OTP hiện không còn an toàn, nhất là với sim mới có thời gian sử dụng ngắn.

Đánh cắp cookie xác thực

Nhiều dịch vụ cho phép người dùng xác thực 2FA chỉ trong lần đăng nhập đầu tiên và ghi nhớ cho những lần về sau, không cần nhập lại mã. Cách này mang lại sự tiện lợi, nhưng cũng đối mặt với nguy cơ bảo mật.

Theo các chuyên gia bảo mật, thông tin ghi nhớ thường nằm trong cookie xác thực, chủ yếu chứa dữ liệu đăng nhập ở dạng mã hóa. Nếu tệp này bị đánh cắp, tin tặc có thể giải mã thông tin đăng nhập để sử dụng. Một phần mềm dạng này là Lumma, từng tấn công hàng loạt máy tính năm 2022 để lấy cookie. Vì vậy, với các tài khoản có tính quan trọng cao như tài khoản ngân hàng, không nên lưu thông tin đăng nhập trên trình duyệt.

Từ khóa: xác thực hai yếu tốtin tặcthông tin cá nhântài sản sốphương thức lừa đảocookie xác thực

Bài khác

An toàn thông tin - Yếu tố sống còn của doanh nghiệp trong kỷ nguyên số An toàn thông tin - Yếu tố sống còn của doanh nghiệp trong kỷ nguyên số
03:30 pm, 26/09/2024
Cứ 5 người Việt thì 1 người nguy cơ bị tấn công mạng khi lướt web Cứ 5 người Việt thì 1 người nguy cơ bị tấn công mạng khi lướt web
03:14 pm, 26/09/2024
Tấn công đòi tiền chuộc ransomware vào các doanh nghiệp Việt tăng đột biến Tấn công đòi tiền chuộc ransomware vào các doanh nghiệp Việt tăng đột biến
09:40 am, 26/09/2024
GitLab phát hành bản sửa lỗi cho lỗ hổng xác thực SAML nghiêm trọng GitLab phát hành bản sửa lỗi cho lỗ hổng xác thực SAML nghiêm trọng
09:33 am, 26/09/2024
Cẩn trọng với lời mời chào làm đẹp bằng Cẩn trọng với lời mời chào làm đẹp bằng "máu tự thân" trên mạng xã hội
04:40 pm, 25/09/2024
Tiền Giang: Phát hiện 2 cơ sở kinh doanh vi phạm trong thương mại điện tử Tiền Giang: Phát hiện 2 cơ sở kinh doanh vi phạm trong thương mại điện tử
04:30 pm, 25/09/2024
Cảnh báo mất tiền oan sau chiêu trò 'lấy lại tiền bị lừa đảo' Cảnh báo mất tiền oan sau chiêu trò 'lấy lại tiền bị lừa đảo'
10:30 am, 25/09/2024
5 cách tin tặc vượt qua xác thực hai yếu tố 5 cách tin tặc vượt qua xác thực hai yếu tố
04:32 pm, 24/09/2024
Mất 100 triệu đồng vì nghe hướng dẫn định danh điện tử qua mạng Mất 100 triệu đồng vì nghe hướng dẫn định danh điện tử qua mạng
01:50 pm, 24/09/2024
Không có chế tài đủ mạnh, không giải quyết được tình trạng vi phạm mua bán, lộ, mất dữ liệu cá nhân Không có chế tài đủ mạnh, không giải quyết được tình trạng vi phạm mua bán, lộ, mất dữ liệu cá nhân
01:25 pm, 24/09/2024

Bài mới nhất

Ngành dịch vụ tài chính ngân hàng tiên phong đầu tư ứng dụng đám mây và AI tạo sinh Ngành dịch vụ tài chính ngân hàng tiên phong đầu tư ứng dụng đám mây và AI tạo sinh
Trung tâm Cách mạng công nghiệp lần thứ 4 tại TPHCM thúc đẩy quá trình chuyển đổi số công nghiệp Trung tâm Cách mạng công nghiệp lần thứ 4 tại TPHCM thúc đẩy quá trình chuyển đổi số công nghiệp
100% khách hàng mở tài khoản ví điện tử đều được yêu cầu xác thực sinh trắc học 100% khách hàng mở tài khoản ví điện tử đều được yêu cầu xác thực sinh trắc học
Trang mới trong hợp tác Thông tin và Truyền thông giữa Việt Nam và Phần Lan Trang mới trong hợp tác Thông tin và Truyền thông giữa Việt Nam và Phần Lan
Thông tư về an toàn giao dịch, sinh trắc học sắp được ban hành Thông tư về an toàn giao dịch, sinh trắc học sắp được ban hành
Phí duy trì tên miền quốc gia .vn mức cao nhất có thể lên đến 40 triệu đồng/năm Phí duy trì tên miền quốc gia .vn mức cao nhất có thể lên đến 40 triệu đồng/năm
An toàn thông tin - Yếu tố sống còn của doanh nghiệp trong kỷ nguyên số An toàn thông tin - Yếu tố sống còn của doanh nghiệp trong kỷ nguyên số
Hoàn thiện hàng lang pháp lý, nâng cao năng lực bảo vệ dữ liệu cá nhân Hoàn thiện hàng lang pháp lý, nâng cao năng lực bảo vệ dữ liệu cá nhân
Lâm Đồng: Tăng cường công tác quản lý mỹ phẩm trên các sàn giao dịch thương mại điện tử Lâm Đồng: Tăng cường công tác quản lý mỹ phẩm trên các sàn giao dịch thương mại điện tử
Cứ 5 người Việt thì 1 người nguy cơ bị tấn công mạng khi lướt web Cứ 5 người Việt thì 1 người nguy cơ bị tấn công mạng khi lướt web
SpaceX dự định đầu tư 1,5 tỷ USD vào Việt Nam SpaceX dự định đầu tư 1,5 tỷ USD vào Việt Nam
Giai cấp Công nhân - Tổ chức Công đoàn Thủ đô: Tự hào quá khứ, xây dựng tương lai Giai cấp Công nhân - Tổ chức Công đoàn Thủ đô: Tự hào quá khứ, xây dựng tương lai
Tổng Bí thư, Chủ tịch nước Tô Lâm đến La Habana, bắt đầu chuyến thăm cấp Nhà nước Cộng hoà Cuba Tổng Bí thư, Chủ tịch nước Tô Lâm đến La Habana, bắt đầu chuyến thăm cấp Nhà nước Cộng hoà Cuba
BIDV phát hành thành công 3.000 tỷ đồng Trái phiếu bền vững BIDV phát hành thành công 3.000 tỷ đồng Trái phiếu bền vững
Vai trò quan trọng của tên miền mã quốc gia trong chuyển đổi số quốc gia Vai trò quan trọng của tên miền mã quốc gia trong chuyển đổi số quốc gia