Xóa địa chỉ
Bảo mật 2 lớp chưa hẳn đã an toàn với thủ đoạn mới này của hacker
Theo trang công nghệ PCmag tiết lộ, các hacker không chỉ lừa lấy được các mã xác thực hai lớp của Google và Yahoo qua tin nhắn SMS, mà ngay cả các ứng dụng xác thực như Google Authenticator cũng bị ảnh hưởng.
Bảo mật tài khoản của bạn bằng xác thực hai lớp được xem như cách làm hiệu quả để chống đỡ các hacker. Nhưng hệ thống này không hoàn hảo như chúng ta nghĩ. Theo tổ chức Ân xá Quốc tế, một nhóm hacker bí ẩn đã qua mặt được cách bảo mật tài khoản này và đánh lừa khoảng 1.000 người.
Theo công bố, cuộc tấn công này được thực hiện thông qua việc sử dụng email và các trang đăng nhập (giả mạo). Và nó được nhắm tới các phóng viên cũng như các nhà hoạt động ở khu vực Trung Đông và Bắc Phi.
Được biết, thủ đoạn của cuộc tấn công này nhằm đánh lừa nạn nhân trao quyền truy cập tài khoản Google và Yahoo cho các hacker, thông qua việc lừa lấy được không chỉ thông tin đăng nhập vào tài khoản mà còn cả đoạn mã passcode dùng cho xác thực hai lớp.
Cách thức qua mặt hệ thống xác thực 2 lớp gửi mã qua SMS
Đối với những người chưa biết, cơ chế xác thực hai lớp hoạt động như sau: Bên cạnh các thông tin đăng nhập, người dùng sẽ phải nhập vào đoạn passcode dùng một lần gửi qua điện thoại của mình.
Theo tổ chức Ân xá Quốc tế, nhóm hacker mà họ đang theo dõi bắt đầu cuộc tấn công bằng cách gửi các cảnh báo giả mạo giống như chúng tới từ Google hay Yahoo, điều này khiến chúng dễ thuyết phục được nạn nhân hơn.
Các cảnh báo sẽ tuyên bố rằng tài khoản của nạn nhân đã bị xâm nhập và cung cấp một đường link tới một trang đăng nhập trông giống như thật, để reset lại mật khẩu.
"Với phần lớn người dùng, lời nhắc từ Google yêu cầu đổi mật khẩu dường như là một lý do chính đáng để công ty liên lạc với bạn." Nhưng trên thực tế, trang đăng nhập là giả.
Để điều tra sâu hơn vào cách thức thực hiện cuộc tấn công của nhóm hacker này, tổ chức Ân xá Quốc tế đã tạo ra một tài khoản Google thử nghiệm và click vào đường link trên email lừa đảo của hacker.
Như thủ đoạn lừa đảo thường thấy, trang Gmail giả này sẽ yêu cầu nạn nhân đăng nhập vào tài khoản của họ. Sau khi nạn nhân nhập vào mật khẩu tài khoản, hệ thống tự động của hacker sẽ điều hướng nạn nhân tới một trang web khác (trông y như hàng "chính chủ"), thông báo với họ rằng, chúng sẽ gửi mã xác thực hai lớp qua SMS tới số điện thoại mà họ đã đăng ký cho tài khoản của mình.
Khi người dùng nhận được mã xác thực hai lớp hợp lệ và nhập vào trang web giả mạo khi có yêu cầu, máy chủ của hacker sẽ tự động chuyển tiếp mã xác thực đó đến trang web dịch vụ thực để đăng nhập, tất cả đều diễn ra với tốc độ như người dùng thông thường.
Công cụ của hacker còn tự động tạo ra một App Password (một mật khẩu riêng biệt cho phép các ứng dụng bên thứ ba truy cập vào tài khoản email), vì vậy các hacker có thể duy trì đăng nhập vào tài khoản của người dùng mà không phải làm lại các thao tác này từ đầu.
Không chỉ các mã passcode gửi qua SMS
Theo Claudio Guarnieri, kỹ sư công nghệ của Tổ chức Ân xá Quốc tế, không chỉ với các mã xác thực hai lớp được gửi qua SMS, cách tiếp cận này cũng có thể được sử dụng để lừa lấy mã từ các ứng dụng xác thực hai lớp ví dụ như Google Authenticator.
Bên cạnh đó, báo cáo cũng phát hiện ra một trường hợp khác, hệ thống của hacker tự động giành lấy một tài khoản Yahoo và sau đó chuyển nó sang Gmail, bằng cách sử dụng một dịch vụ dịch chuyển dữ liệu hợp lệ có tên ShuttleCloud.
Công cụ này "cho phép những kẻ tấn công tự động tạo ra ngay lập tức một bản sao tài khoản Yahoo của nạn nhân trong tài khoản Gmail dưới quyền kiểm soát của chúng."
Tuy vậy, báo cáo của tổ chức Ân xá Quốc tế cũng đề cập đến một sự thay thế có thể cho các mã xác thực hai lớp, đó là các khóa phần cứng chứa token bảo mật. Chúng hoạt động tương tự như một biện pháp xác thực hai lớp, nhưng bằng cách cắm khóa này vào trong máy tính của bạn để đăng nhập vào tài khoản cần bảo vệ.
Với thiết bị này, kẻ tấn công cần phải tìm cách tiếp cận và ăn trộm chiếc khóa đó của bạn mới có thể truy cập vào tài khoản của bạn. Điển hình của loại thiết bị này là các Yubikey do hãng Yubico cung cấp. Ngoài ra Google cũng có khóa phần cứng token của riêng mình trong chương trình Advanced Protection Program.
Nguồn: PCmag
Xem thêm: Có thể bạn chưa biết: Quy trình kiểm tra 1 chiếc smartphone trước khi đưa ra thị trường!
ĐĂNG NHẬP
Hãy đăng nhập để comment, theo dõi các hồ sơ cá nhân và sử dụng dịch vụ nâng cao khác trên trang Tin Công Nghệ của
Thế Giới Di Động
Tất cả thông tin người dùng được bảo mật theo quy định của pháp luật Việt Nam. Khi bạn đăng nhập, bạn đồng ý với Các điều khoản sử dụng và Thoả thuận về cung cấp và sử dụng Mạng Xã Hội.