Có nhiều cách để tin tặc vượt qua xác thực hai yếu tố và chiếm đoạt tài khoản, chẳng hạn như lừa người dùng cung cấp khóa.
Việc bảo vệ tài khoản của bạn chỉ bằng tên người dùng và mật khẩu không còn an toàn vì chúng có thể dễ dàng bị đánh cắp, đoán hoặc bẻ khóa. Do đó, hầu hết các dịch vụ và nền tảng trực tuyến đều khuyến nghị sử dụng xác thực hai yếu tố (2FA) hoặc xác thực nhiều hơn (xác thực đa yếu tố).
Người dùng có thể xác thực bằng mật khẩu, mã PIN, sử dụng các thiết bị đáng tin cậy như điện thoại thông minh và máy tính bảng hoặc sinh trắc học như dấu vân tay, mống mắt và nhận dạng khuôn mặt. Tuy nhiên, chúng không phải là bất khả xâm phạm. Có những thủ thuật và lỗ hổng mà tin tặc có thể khai thác để chiếm đoạt tài khoản.
tấn công bằng sự lừa dối
Kết nối giữa người dùng và tài khoản trực tuyến thường được bảo vệ bằng công nghệ TLS (Transport Layer Security) an toàn. Nó được thiết kế để đảm bảo rằng không ai có thể xâm nhập vào kết nối này. Tuy nhiên, tin tặc có thể thực hiện các cuộc tấn công MITM (man-in-the-middle), nghĩa là can thiệp giữa máy tính của người dùng và máy chủ để thực hiện hành vi lừa đảo.
Cụ thể, hacker sẽ thiết kế một trang web giả mạo giống với trang web thật để dụ người dùng điền thông tin đăng nhập. Các kỹ thuật tấn công mới không chỉ đánh cắp tên người dùng và mật khẩu mà còn lừa người dùng cung cấp mã xác thực hai yếu tố. Vì vậy, người dùng cần cảnh giác, kiểm tra link cẩn thận và nếu nghi ngờ thì không cung cấp bất kỳ thông tin đăng nhập nào. Sau đó, bạn có thể tìm kiếm trên Google để xác định trang web dịch vụ thực sự mà bạn đang sử dụng.
Tải xuống phần mềm độc hại thông qua lừa đảo
Một biến thể của kỹ thuật MITM là việc sử dụng phần mềm độc hại được nhúng trực tiếp vào trình duyệt. Phần mềm độc hại đợi cho đến khi người dùng đăng nhập vào ngân hàng, nhập 2FA và sau đó thực hiện thao tác chuyển tiền trong nền. Những phần mềm độc hại như vậy bao gồm Carberp, Emotet, Spyeye và Zeus.
Trường hợp này người dùng cần kiểm tra lại thông báo chuyển trước khi nhấn chuyển và thường xuyên sử dụng phần mềm quét virus trên thiết bị của mình.
gọi trực tiếp
Trong một số trường hợp, kẻ tấn công tìm hiểu tên người dùng và mật khẩu của nạn nhân thông qua các kênh giao dịch dữ liệu, web đen hoặc đánh cắp chúng thông qua phần mềm độc hại. Ngay cả khi họ có thông tin tài khoản, họ vẫn cần 2FA để xác thực. Tại thời điểm này, họ có thể tạo tập lệnh để gọi trực tiếp cho người dùng qua số điện thoại công cộng.
Tình huống phổ biến nhất là giả làm nhân viên ngân hàng hoặc nhà cung cấp dịch vụ, giả làm cảnh sát để dụ mục tiêu cung cấp 2FA, chẳng hạn như “giới thiệu quy trình bảo mật mới”, “nâng cấp, chuyển đổi tài khoản” và yêu cầu mã xác thực. Nếu không cảnh giác, người dùng có thể rơi vào bẫy.
Các chuyên gia cảnh báo rằng nhân viên dịch vụ và cơ quan chức năng sẽ không bao giờ yêu cầu người dùng cung cấp những thông tin bí mật như vậy, vì vậy không nên cung cấp mã 2FA cho bất kỳ ai qua điện thoại.
Trao đổi thẻ SIM
Mật khẩu dùng một lần (OTP) từng rất phổ biến, ngoài bước đầu tiên là nhập mật khẩu, người dùng chỉ cần gửi mã này tới thẻ SIM điện thoại để đăng nhập vào tài khoản của mình. Tuy nhiên, hacker đã nghĩ ra một thủ thuật để hoán đổi thẻ SIM.
Cụ thể, hacker dùng thủ đoạn để “lừa” các nhà mạng chuyển số điện thoại của nạn nhân sang SIM do họ kiểm soát. Nếu tài khoản trực tuyến sử dụng phương thức xác thực số điện thoại OTP, chúng có thể dễ dàng đánh cắp và thay đổi thông tin tài khoản đã đăng ký sau khi thay SIM thành công. Các chuyên gia cho rằng OTP không còn an toàn nữa, đặc biệt với những thẻ SIM đời mới, trẻ hơn.
Ăn cắp cookie xác thực
Nhiều dịch vụ cho phép người dùng xác minh 2FA trong lần đăng nhập đầu tiên và ghi nhớ nó cho những lần truy cập sau mà không cần phải nhập lại mã. Tuy phương pháp này mang lại sự tiện lợi nhưng nó cũng gặp phải những rủi ro về bảo mật.
Theo các chuyên gia bảo mật, thông tin được ghi nhớ thường chứa trong cookie xác thực, chủ yếu chứa dữ liệu đăng nhập ở dạng mã hóa. Nếu file này bị đánh cắp, hacker có thể giải mã thông tin đăng nhập để sử dụng. Lumma là một trong những phần mềm đã tấn công hàng loạt máy tính vào năm 2022 để thu thập cookie. Vì vậy, đối với những tài khoản rất quan trọng như tài khoản ngân hàng thì không nên lưu thông tin đăng nhập trên trình duyệt.
(theo Thế giới máy tính, MakeUseOf.me)
- Hacker chiếm tài khoản YouTube như thế nào?