Xác thực hai yếu tố (2FA) đã trở thành một tính năng bảo mật tiêu chuẩn trong an ninh mạng. Điều này yêu cầu người dùng xác minh danh tính của họ thông qua bước xác thực thứ hai, thường là mật khẩu một lần (OTP) được gửi qua SMS, email hoặc ứng dụng xác thực.
Lớp bảo mật bổ sung này được thiết kế để bảo vệ tài khoản của người dùng ngay cả khi mật khẩu của họ bị đánh cắp. Tuy nhiên, những kẻ lừa đảo sử dụng các phương pháp tinh vi để lừa người dùng tiết lộ các OTP này, cho phép họ vượt qua các biện pháp bảo vệ 2FA.
Xác thực hai yếu tố (2FA) vẫn có thể bị tin tặc khai thác
AFP
Bot OTP là những công cụ phức tạp được những kẻ lừa đảo sử dụng để chặn mã OTP thông qua các cuộc tấn công kỹ thuật xã hội. Những kẻ tấn công thường cố gắng đánh cắp thông tin đăng nhập của nạn nhân bằng các phương pháp như lừa đảo hoặc khai thác lỗ hổng dữ liệu.
Sau đó, chúng đăng nhập vào tài khoản của nạn nhân, gửi mã OTP đến điện thoại của nạn nhân. Tiếp theo, bot OTP tự động gọi điện cho nạn nhân, giả làm nhân viên của một tổ chức đáng tin cậy và sử dụng kịch bản hội thoại được lập trình sẵn để thuyết phục nạn nhân tiết lộ mã OTP. Cuối cùng, kẻ tấn công nhận được mã OTP thông qua bot và sử dụng nó để truy cập trái phép vào tài khoản của nạn nhân.
Những kẻ lừa đảo ưu tiên cuộc gọi thoại hơn tin nhắn văn bản vì nạn nhân có xu hướng phản hồi nhanh hơn khi sử dụng phương pháp này. Do đó, bot OTP sẽ mô phỏng giọng điệu và cảm giác cấp bách của con người trong các cuộc gọi để tạo cảm giác đáng tin cậy và thuyết phục.
Một trang web giả mạo bắt chước trang đăng nhập ngân hàng trực tuyến
Ảnh chụp màn hình
Những kẻ lừa đảo kiểm soát bot OTP thông qua bảng điều khiển trực tuyến hoặc nền tảng nhắn tin đặc biệt như Telegram. Những bot này cũng đi kèm với nhiều tính năng và gói đăng ký khác nhau nhằm tạo điều kiện thuận lợi cho hoạt động của kẻ tấn công. Những kẻ tấn công có thể tùy chỉnh chức năng của bot để mạo danh một tổ chức, nói nhiều ngôn ngữ và thậm chí chọn giọng nam hoặc nữ. Ngoài ra, các tùy chọn nâng cao bao gồm giả mạo số điện thoại, được thiết kế để đánh lừa nạn nhân một cách tinh vi bằng cách làm cho số điện thoại của người gọi có vẻ như đến từ một tổ chức hợp pháp.
Để sử dụng bot OTP, trước tiên những kẻ lừa đảo cần đánh cắp thông tin đăng nhập của nạn nhân. Họ thường sử dụng các trang web lừa đảo được thiết kế trông giống hệt các trang đăng nhập hợp pháp của ngân hàng, dịch vụ email hoặc các tài khoản trực tuyến khác. Khi nạn nhân nhập tên người dùng và mật khẩu, kẻ lừa đảo sẽ tự động thu thập thông tin này ngay lập tức (theo thời gian thực).
Nghiên cứu của Kaspersky cho thấy các cuộc tấn công lừa đảo và bot OTP có tác động đáng kể. Từ ngày 1 tháng 3 đến ngày 31 tháng 5 năm 2024, các giải pháp của Kaspersky Security đã chặn 653.088 lượt truy cập vào các trang web được tạo bởi bộ công cụ lừa đảo nhắm mục tiêu vào các ngân hàng. Dữ liệu bị đánh cắp từ các trang web này thường được sử dụng trong các cuộc tấn công bot OTP. Trong cùng thời gian, Kaspersky đã phát hiện 4.721 trang web lừa đảo được tạo bởi các bộ công cụ được thiết kế để vượt qua xác thực hai yếu tố theo thời gian thực.
Bà Olga Svistunova, Chuyên gia bảo mật tại Kaspersky, nhận xét: “Các cuộc tấn công kỹ thuật xã hội được coi là một phương thức lừa đảo cực kỳ tinh vi, đặc biệt với sự xuất hiện của các bot OTP với khả năng mạo danh các cuộc gọi hợp pháp từ các đại diện dịch vụ. Luôn cảnh giác và tuân thủ các biện pháp bảo mật, Kaspersky cung cấp các giải pháp bảo mật tiên tiến thông qua nghiên cứu và đổi mới liên tục để bảo vệ người dùng trong thời đại kỹ thuật số đang bùng nổ.”
