Kaspersky vừa đưa ra những cảnh báo về các hình thức tấn công giả mạo để vượt xác thực hai yếu tố (2FA).
Kaspersky đã phát hiện ra các hình thức tấn công giả mạo (phishing) được tội phạm mạng sử dụng để vượt qua xác thực hai yếu tố (2FA), một biện pháp bảo mật quan trọng nhằm bảo vệ tài khoản trực tuyến. Mặc dù 2FA được nhiều trang web và tổ chức áp dụng, các hacker đã phát triển các phương thức tấn công phức tạp hơn bằng cách kết hợp phishing với bot OTP tự động để lừa người dùng và xâm nhập trái phép vào tài khoản của họ.
Xác thực hai yếu tố (2FA) là một biện pháp bảo mật phổ biến trong an ninh mạng, yêu cầu người dùng xác nhận danh tính của họ bằng một bước xác thực bổ sung, thường là mã OTP được gửi qua tin nhắn văn bản, email hoặc ứng dụng xác thực. Mục đích của lớp bảo mật này là bảo vệ tài khoản người dùng ngay cả khi mật khẩu của họ bị lộ. Tuy nhiên, các hacker đã tìm ra những cách tinh vi để lừa người dùng cung cấp mã OTP, giúp chúng vượt qua biện pháp bảo vệ 2FA.
Bot OTP là một công cụ tinh vi được hacker sử dụng để lấy mã OTP thông qua các cuộc tấn công phi kỹ thuật. Kẻ tấn công thường lấy cắp thông tin đăng nhập của nạn nhân bằng các phương pháp như phishing hoặc khai thác lỗ hổng dữ liệu. Sau đó, chúng đăng nhập vào tài khoản của nạn nhân và kích hoạt việc gửi mã OTP đến điện thoại của nạn nhân. Bot OTP sẽ tự động gọi điện cho nạn nhân, giả danh là nhân viên của một tổ chức đáng tin cậy và sử dụng các kịch bản có sẵn để thuyết phục nạn nhân cung cấp mã OTP. Cuối cùng, hacker nhận được mã OTP thông qua bot và sử dụng nó để truy cập vào tài khoản của nạn nhân.
Các trang web giả mạo được thiết kế tương tự như các trang đăng nhập ngân hàng trực tuyến là công cụ ưu tiên của các hacker, vì nạn nhân thường phản hồi nhanh hơn khi nhận cuộc gọi thoại. Bot OTP sẽ mô phỏng giọng điệu và tính khẩn cấp trong cuộc gọi để tạo cảm giác tin cậy và thuyết phục.
Hacker điều khiển bot OTP thông qua các bảng điều khiển trực tuyến đặc biệt hoặc các nền tảng nhắn tin như Telegram. Những bot này được trang bị nhiều tính năng và gói đăng ký khác nhau, cho phép hacker tùy chỉnh bot để giả mạo các tổ chức, sử dụng đa ngôn ngữ và thậm chí chọn giọng nam hoặc nữ. Các tính năng nâng cao còn bao gồm giả mạo số điện thoại để hiển thị số gọi giống như từ một tổ chức hợp pháp nhằm lừa nạn nhân.
Để sử dụng bot OTP, hacker cần đánh cắp thông tin đăng nhập của nạn nhân trước. Chúng thường sử dụng các trang web phishing được thiết kế giống hệt với các trang đăng nhập hợp pháp của ngân hàng, dịch vụ email hoặc các tài khoản trực tuyến khác. Khi nạn nhân nhập tên đăng nhập và mật khẩu, hacker sẽ thu thập thông tin này ngay lập tức.
Nghiên cứu của Kaspersky cho thấy tác động đáng kể của các cuộc tấn công phishing và bot OTP. Từ ngày 1/3 đến ngày 31/5 năm 2024, các giải pháp bảo mật của Kaspersky đã ngăn chặn 653.088 lượt truy cập vào các trang web phishing nhắm vào các ngân hàng. Dữ liệu đánh cắp từ các trang web này thường được sử dụng trong các cuộc tấn công bằng bot OTP. Trong cùng khoảng thời gian, Kaspersky phát hiện 4.721 trang web phishing được tạo ra nhằm vượt qua xác thực hai yếu tố theo thời gian thực.
Bà Olga Svistunova, chuyên gia bảo mật của Kaspersky, nhận định: “Các cuộc tấn công phi kỹ thuật (social engineering) là những phương thức lừa đảo cực kỳ tinh vi, đặc biệt với sự xuất hiện của bot OTP mô phỏng hợp pháp các cuộc gọi từ đại diện dịch vụ. Để luôn cảnh giác, điều quan trọng là phải duy trì sự thận trọng và tuân thủ các biện pháp bảo mật. Kaspersky cung cấp các giải pháp bảo mật tiên tiến nhằm bảo vệ người dùng trong thời đại kỹ thuật số.”
Mặc dù 2FA là biện pháp bảo mật quan trọng, nhưng nó không hoàn toàn tối ưu. Để bảo vệ người dùng khỏi các trò lừa đảo tinh vi, Kaspersky khuyến nghị:
- Tránh nhấp vào các liên kết trong email đáng ngờ. Hãy nhập địa chỉ trang web trực tiếp hoặc sử dụng dấu trang đã lưu.
- Đảm bảo địa chỉ website chính xác và không có lỗi đánh máy. Có thể sử dụng công cụ Whois để kiểm tra thông tin đăng ký website.
- Không bao giờ cung cấp mã OTP qua điện thoại, bất kể người gọi có thuyết phục thế nào. Các tổ chức uy tín không bao giờ yêu cầu điều này.
- Để bảo vệ doanh nghiệp, Kaspersky cung cấp các giải pháp bảo mật theo thời gian thực, hiển thị mối đe dọa và phản ứng với các sự cố an ninh. Các giải pháp này phù hợp cho mọi quy mô và lĩnh vực hoạt động.
- Doanh nghiệp nên đầu tư vào các khóa học an ninh mạng cho nhân viên để cập nhật kiến thức mới nhất về các mối đe dọa. Chương trình đào tạo Kaspersky Expert cung cấp các kỹ năng cần thiết để bảo vệ công ty trước các cuộc tấn công tinh vi, với các khóa học trực tuyến và trực tiếp.
