Powered by Techcity

Cảnh báo các hình thức tấn công giả mạo để vượt xác thực hai yếu tố

Xác thực 2 yếu tố (2FA) không còn là bảo mật an toàn tuyệt đối. Ảnh minh họa

Hình thức tấn công mới

Xác thực 2 yếu tố (2FA) đã trở thành tính năng bảo mật tiêu chuẩn trong an ninh mạng. Hình thức này yêu cầu người dùng xác minh danh tính của họ bằng một bước xác thực thứ hai, thường là mật khẩu dùng một lần (OTP) được gửi qua tin nhắn văn bản, email hoặc ứng dụng xác thực. Lớp bảo mật bổ sung này nhằm mục đích bảo vệ tài khoản của người dùng ngay cả khi mật khẩu của họ bị đánh cắp.

Mặc dù 2FA được nhiều trang web áp dụng rộng rãi và các tổ chức bắt buộc thực hiện, thế nhưng mới đây, các chuyên gia bảo mật an ninh mạng Kaspersky đã phát hiện ra các hình thức tấn công giả mạo (phishing) được tội phạm mạng sử dụng để vượt 2FA.

Theo đó, những kẻ tấn công mạng đã thay đổi hình thức tấn công mạng tinh vi hơn, bằng cách kết hợp phishing với bot OTP tự động để đánh lừa người dùng và truy cập trái phép vào tài khoản của họ. Cụ thể, kẻ lừa đảo lừa người dùng tiết lộ các OTP này để cho phép họ vượt qua các biện pháp bảo vệ 2FA.

Tội phạm mạng kết hợp phishing với bot OTP tự động để đánh lừa người dùng và truy cập trái phép vào tài khoản của họ. Ảnh minh họa

Ngay cả bot OTP, một công cụ tinh vi cũng được kẻ lừa đảo sử dụng để ngăn chặn mã OTP thông qua hình thức tấn công phi kỹ thuật. Theo đó, kẻ tấn công thường cố gắng lấy cắp thông tin đăng nhập của nạn nhân bằng các phương thức như phishing hoặc khai thác lỗ hổng dữ liệu. Sau đó, chúng đăng nhập vào tài khoản của nạn nhân, kích hoạt việc gửi mã OTP đến điện thoại của nạn nhân.

Kế đến, bot OTP sẽ tự động gọi đến nạn nhân, mạo danh là nhân viên của một tổ chức đáng tin cậy, sử dụng kịch bản hội thoại được lập trình sẵn để thuyết phục nạn nhân tiết lộ mã OTP. Cuối cùng, kẻ tấn công nhận được mã OTP thông qua bot và sử dụng nó để truy cập trái phép vào tài khoản của nạn nhân.

Kẻ lừa đảo thường ưu tiên sử dụng cuộc gọi thoại hơn tin nhắn vì nạn nhân có xu hướng phản hồi nhanh hơn khi áp dụng hình thức này. Theo đó, bot OTP sẽ mô phỏng giọng điệu và sự khẩn trương của con người trong cuộc gọi nhằm tạo cảm giác đáng tin cậy và tính thuyết phục.

Kẻ lừa đảo điều khiển các bot OTP thông qua các bảng điều khiển trực tuyến đặc biệt, hoặc các nền tảng nhắn tin như Telegram. Những bot này còn đi kèm với nhiều tính năng và gói đăng ký khác nhau, tạo điều kiện cho những kẻ tấn công hành động. Theo đó, kẻ tấn công có thể tùy chỉnh tính năng của bot để mạo danh các tổ chức, sử dụng đa ngôn ngữ và thậm chí chọn tông giọng nam hoặc nữ. Ngoài ra, các tùy chọn nâng cao còn bao gồm giả mạo số điện thoại (spoofing), với mục đích khiến cho số điện thoại người gọi hiển thị giống như từ một tổ chức hợp pháp nhằm đánh lừa nạn nhân một cách tinh vi.

Công nghệ càng phát triển đòi hỏi bảo vệ tài khoản càng phải cao. Ảnh minh họa

Để sử dụng bot OTP, kẻ lừa đảo cần đánh cắp thông tin đăng nhập của nạn nhân trước. Chúng thường sử dụng các trang web phishing được thiết kế giống hệt với các trang đăng nhập hợp pháp của ngân hàng, dịch vụ email hoặc các tài khoản trực tuyến khác. Khi nạn nhân nhập tên đăng nhập và mật khẩu của họ, kẻ lừa đảo sẽ tự động thu thập thông tin này ngay lập tức (theo thời gian thực).

Trong khoảng thời gian từ ngày 1/3 đến ngày 31/5 năm 2024, các giải pháp bảo mật của Kaspersky đã ngăn chặn được 653.088 lượt truy cập vào các trang web được tạo ra bởi bộ công cụ phishing nhắm vào các ngân hàng. Dữ liệu đánh cắp từ các trang web này thường được sử dụng trong các cuộc tấn công bằng bot OTP. Cũng trong khoảng thời gian đó, các chuyên gia đã phát hiện 4.721 trang web phishing do các bộ công cụ tạo ra nhằm mục đích vượt qua xác thực hai yếu tố theo thời gian thực.

Không nên tạo mật khẩu phổ biến

Bà Olga Svistunova, chuyên gia bảo mật của Kaspersky nhận định: “Tấn công phi kỹ thuật (social engineering) được xem là phương thức lừa đảo cực kỳ tinh vi, đặc biệt là với sự xuất hiện của bot OTP với khả năng mô phỏng một cách hợp pháp các cuộc gọi từ đại diện của các dịch vụ. Để luôn cảnh giác, điều quan trọng là phải duy trì sự thận trọng và tuân thủ các biện pháp bảo mật”.

Các hacker chỉ cần sử dụng các thuật toán dự đoán thông minh để tìm ra mật khẩu một cách dễ dàng. Ảnh minh họa

Bởi trong phân tích 193 triệu mật khẩu được các chuyên gia của Kaspersky thực hiện bằng cách sử dụng các thuật toán dự đoán thông minh (smart guessing algorithms) vào đầu tháng 6 vừa qua, đây cũng là những mật khẩu bị xâm phạm và rao bán trên darknet bởi những kẻ đánh cắp thông tin cho thấy 45% (tương đương 87 triệu mật khẩu) có thể bị bẻ khóa thành công trong vòng một phút; duy chỉ có 23% (tương đương 44 triệu) tổ hợp mật khẩu được đánh giá đủ mạnh để chống lại các cuộc tấn công và việc bẻ khóa những mật khẩu này sẽ mất hơn một năm. Tuy nhiên, phần lớn các mật khẩu còn lại vẫn có thể bẻ khóa từ 1 tiếng đến 1 tháng.

Bên cạnh đó, các chuyên gia an ninh mạng cũng tiết lộ những tổ hợp ký tự được sử dụng phổ biến nhất khi người dùng thiết lập mật khẩu như: Tên: “ahmed”, “nguyen”, “kumar”, “kevin”, “daniel”; từ phổ biến: “forever”, “love”, “google”, “hacker”, “gamer”; mật khẩu tiêu chuẩn: “password”, “qwerty12345”, “admin”, “12345”, “team”.

Phân tích cho thấy, chỉ có 19% mật khẩu chứa tổ hợp của một mật khẩu mạnh, bao gồm một từ không có trong từ điển, cả chữ thường và chữ in hoa, cũng như số và ký hiệu. Đồng thời, nghiên cứu cũng cho thấy 39% trong số các mật khẩu mạnh đó vẫn có thể bị đoán bằng các thuật toán thông minh chỉ trong vòng chưa đầy một giờ.

Điều thú vị là, các kẻ tấn công không cần sở hữu kiến thức chuyên môn hay thiết bị tân tiến để bẻ khóa mật khẩu. Ví dụ, bộ xử lý máy tính xách tay chuyên dụng có thể tìm ra chính xác tổ hợp mật khẩu gồm 8 chữ cái hoặc chữ số viết thường bằng brute force chỉ trong 7 phút. Ngoài ra, card đồ họa tích hợp sẽ xử lý tác vụ tương tự trong 17 giây. Bên cạnh đó, các thuật toán đoán mật khẩu thông minh còn có xu hướng thay thế các ký tự (“e” thành “3”, “1” thành “!” hoặc “a” thành “@”) và các chuỗi phổ biến (“qwerty”, “12345”, “asdfg”).

Nên sử dụng mật khẩu bằng các chuỗi ký tự ngẫu nhiên để hacker khó đoán. Ảnh minh họa

Bà Yuliya Novikova, Trưởng phòng Digital Footprint Intelligence tại Kaspersky cho hay: “Một cách vô thức, con người thường đặt mật khẩu rất đơn giản, thường là các từ trong từ điển bằng tiếng mẹ đẻ, như tên riêng và số… Ngay cả những tổ hợp mật khẩu mạnh cũng hiếm khi được đặt khác với xu hướng trên, vì vậy chúng hoàn toàn có thể bị thuật toán đoán được”.

Do đó, giải pháp đáng tin cậy nhất là tạo ra một mật khẩu hoàn toàn ngẫu nhiên bằng các trình quản lý mật khẩu hiện đại và đáng tin cậy. Những ứng dụng như vậy có thể lưu trữ khối lượng lớn dữ liệu một cách an toàn, cung cấp khả năng bảo vệ toàn diện và mạnh mẽ cho thông tin người dùng.

Để tăng cường độ mạnh của mật khẩu, người dùng có thể áp dụng các mẹo đơn giản sau: Sử dụng các phần mềm an ninh mạng quản lý mật khẩu; sử dụng mật khẩu khác nhau cho các dịch vụ khác nhau. Bằng cách này, ngay cả khi một trong các tài khoản của bạn bị tấn công, những tài khoản khác vẫn an toàn; chuỗi ký tự (passphrase) giúp người dùng khôi phục lại tài khoản khi quên mật khẩu, sẽ an toàn hơn khi sử dụng các từ ít phổ biến. Ngoài ra, họ có thể sử dụng một dịch vụ trực tuyến để kiểm tra độ mạnh của mật khẩu.

Không nên sử dụng các thông tin cá nhân, như ngày sinh nhật, tên thành viên trong gia đình, thú cưng hoặc tên riêng để đặt mật khẩu. Đây thường là những lựa chọn đầu tiên kẻ tấn công sẽ thử khi bẻ khóa mật khẩu.



Nguồn

Cùng chủ đề

Phá đường dây mua bán xe gian trên mạng xã hội

Thu mua xe máy từ các đối tượng trộm cắp ở TPHCM, Nhiều vận chuyển về Tây Ninh rồi bán sang Campuchia để kiếm lời. Ngày 29/6, Cơ quan Cảnh sát điều tra Công an quận 1 (TPHCM) đã khởi tố vụ án, khởi tố bị can, bắt tạm giam Lê Văn Thiên Lộc (29 tuổi, ngụ quận 7) để điều tra về hành vi “Trộm cắp tài sản”; Phạm Tạ Hoàng Huy (35 tuổi, ngụ quận...

Làm gì để không trở thành nạn nhân của lừa đảo?

từ khóa : #AI Deepfake #Đe doạ #Beta #an ninh mạng #MFA #Password Nguồn

Người lao động mất Facebook nguy hiểm hơn mất tài khoản ngân hàng?

Tại hội thảo về xây dựng môi trường an toàn cho người lao động, do Tổng LĐLĐ Việt Nam phối hợp với Báo Lao Động vừa tổ chức, đại diện Công an TP Hà Nội cho biết thời gian qua trên địa bàn thành phố đã có 48 công ty tại 6 khu công nghiệp phản ánh bị đối tượng đòi nợ quấy rối liên quan tới 137 người lao động vay nợ. Trong đó, 88 người vay...

Cùng tác giả

Lào Cai hoàn thành công tác tổ chức Ngày hội đại đoàn kết toàn dân tộc năm 2024

Do ảnh hưởng nặng nề của hoàn lưu bão số 3, Ngày hội năm nay phần lễ được rút ngắn, những vẫn đảm bảo trang trọng. Tham dự Ngày hội, các đại biểu và Nhân dân cùng ôn lại truyền thống 94 năm Mặt trận Tổ quốc Việt Nam và nghe Thư...

Một Kho Vàng mới đang thành hình, vững vàng trên sườn núi

Đẩy nhanh tiến độ từng ngày, từng giờ Ngược dòng sông Chảy, đoàn công tác gồm hơn chục người cấp tốc hướng về Kho Vàng. Những ngày qua, con sông chảy cạn nước, có những đoạn trơ đất đá. Dọc hai bờ sông, nhiều đoạn đường bê tông bung gãy, ngổn ngang do xói lở như những “vết sẹo” để lại từ trận lũ thế kỷ do cơn bão số 3 (Yagi) gây ra. Bởi vậy, không ít người trong...

Thú vị và bổ ích những tiết học an toàn giao thông

“Giáo dục pháp luật về an toàn giao thông” là một trong những tiết học thu hút em Tẩn Minh Khánh và các bạn trong lớp hào hứng tham gia. Tại tiết học này, Khánh cùng các bạn, được các chiến sỹ Cảnh sát giao thông trực tiếp truyền đạt những...

Mường Khương tuyên dương 180 nhà giáo tiêu biểu

Những năm qua, sự nghiệp giáo dục của Mường Khương luôn được cấp uỷ Đảng, chính quyền và Nhân dân quan tâm, chăm lo. Quy mô, mạng lưới trường, lớp các cấp học không ngừng được củng cố và phát triển, đáp ứng tốt nhu cầu học tập ngày...

100% thôn, tổ dân phố xây dựng và thực hiện hương ước, quy ước

Hương ước, quy ước đã đề ra các biện pháp, phương thức thích hợp giúp người dân trên địa bàn tham gia quản lý nhà nước, quản lý xã hội, bảo đảm và phát huy quyền tự do, dân chủ của cộng đồng dân cư; duy trì,...

Cùng chuyên mục

Báo nước ngoài khen ngợi cảnh đẹp và văn hóa Sa Pa

Từ ruộng bậc thang đến những phiên chợ tình, Sa Pa khiến du khách khắp nơi đến đây đều đắm chìm vào vẻ đẹp thiên nhiên, văn hóa độc đáo. Thiên nhiên hoang sơ ở Sa Pa. Ảnh: Erika Na Bài viết là những chia sẻ của Erika Na, một cây viết của Southern China Morning Post (Hong Kong, Trung Quốc) mới đăng tải đầu tháng 10. Du khách đến miền bắc Việt Nam không chỉ ghé thăm Hà Nội, Hạ Long mà còn có...

Sa Pa hướng tới trở thành khu du lịch mang tầm quốc tế

Khu du lịch quốc gia Sa Pa (tỉnh Lào Cai) được định hướng phát triển trở thành trung tâm du lịch nghỉ dưỡng quốc gia tầm cỡ quốc tế, với hạ tầng, dịch vụ đồng bộ, hiện đại. Hệ thống sản phẩm du lịch tại địa phương từng bước được xây dựng đa dạng, đặc sắc, phong phú, chất lượng cao. Sa Pa đang bước vào mùa đẹp nhất trong năm, khi những thửa ruộng bậc thang đầy màu sắc luôn...

Báo Hồng Kông lý giải vì sao du khách yêu thị trấn mù sương của Việt Nam

Từ ruộng bậc thang đến 'chợ tình', thị trấn mù sương Sa Pa ở Việt Nam mang đến cho du khách vẻ đẹp thiên nhiên và sự hòa nhập văn hóa, theo báo Hồng Kông SCMP. Việt Nam là điểm đến nghỉ mát nổi tiếng của người Hồng Kông vì Hà Nội chỉ cách sân bay quốc tế Hồng Kông hai giờ bay. Nhưng không chỉ quanh quẩn ở thủ đô, có nhiều điểm hấp dẫn du khách Hồng Kông chẳng hạn...

Cuối tuần xem giải đua xe ôtô địa hình kịch tính ở Lào Cai

Ngày 24.8, UBND huyện Bát Xát phối hợp với Tỉnh đoàn Lào Cai tổ chức khai mạc Giải đua xe ôtô địa hình Bat Xat Offroad Challenger” lần thứ 2, năm 2024. Các đội trình diễn kỹ năng lái xe vượt địa hình kịch tính, hấp dẫn. Ảnh: Nguyễn Hải Giải đua xe bán tải địa hình “Bat Xat Offroad Challenger 2024” lần 2, năm 2024 nhằm giới thiệu, quảng bá các sản phẩm du lịch mới, độc đáo của huyện Bát Xát...

Sa Pa mùa lúa xanh – thiên đường nơi hạ giới

Chớm thu, Sa Pa đẹp như một thế giới thần tiên với những thửa ruộng bậc thang xanh ngút ngàn tầm mắt. Bất cứ ai ngắm nhìn sắc xanh đó đều bị mê hoặc chẳng muốn rời. Sa Pa đẹp như một thế giới thần tiên với những thửa ruộng bậc thang xanh ngút ngàn tầm mắt. Nếu ai hỏi Fansipan, Sa Pa đẹp nhất mùa nào thì có lẽ câu trả lời với các tín đồ du ngoạn chắc chắn sẽ là...

Lên Sa Pa săn “view triệu đô” ngắm lúa xanh mướt mắt ở Tả Van

Cách trung tâm thị xã Sa Pa khoảng 10km, bản Tả Van thu hút khách du lịch bởi những ruộng bậc thang đẹp như tranh vẽ, không khí yên bình, trong lành, đặc biệt vào mùa lúa. Tả Van là một xã thuộc thị xã Sa Pa, tỉnh Lào Cai. Không quá ồn ào, đông đúc như bản Cát Cát, Tả Van được nhiều du khách yêu thích vì chưa bị công nghiệp hóa, không khí trong lành, yên bình, khung cảnh...

Ấn tượng phiên chợ vùng cao Sín Chéng ở Lào Cai

Chợ phiên Sín Chéng, huyện Si Ma Cai, tỉnh Lào Cai được họp vào ngày thứ 4 hằng tuần.Nhộn nhịp chợ phiên Sín ChéngĐể đến chợ phiên Sín Chéng thuận tiện nhất, chúng tôi chọn di chuyển bằng xe máy cá nhân từ TP. Lào Cai theo quốc lộ 70 rồi tới thị trấn Bắc Hà, huyện Bắc Hà khoảng hơn 70 km.Từ thị trấn Bắc Hà, chúng tôi đi thẳng đến trung tâm thị trấn Si Ma Cai....

Thủ đô Hà Nội lọt top 15 thành phố có nền ẩm thực hấp dẫn nhất thế giới

Tripadvisor đề xuất du khách thế giới đến Hà Nội để thưởng thức những món ăn mang tính biểu tượng của Thủ đô, dù là những quán ăn bình dân cho đến các nhà hàng cao cấp được Michelin vinh danh. Khu phố cổ ở trung tâm Thủ đô là địa điểm vô cùng nhộn nhịp, nơi du khách có thể thưởng thức vô vàn món ăn đường phố hấp dẫn cùng...

Khám phá Y Tý trong mùa hè

Với khí hậu trong lành và mát mẻ, cảnh quan thiên nhiên tuyệt đẹp cùng văn hóa và ẩm thực độc đáo. Y Tý vào mùa hè trở thành điểm đến hấp dẫn thu hút nhiều du khách ghé qua. Đây là nơi sinh sống của đồng bào dân tộc Hà Nhì, Dao, Mông và Kinh. Y Tý nằm ở độ cao trên 2.000 m so với mực nước biển cùng khí hậu mát mẻ quanh...

Làng Tày bình yên giữa lòng thành phố

Giữa lòng thành phố Lào Cai có một “ngôi làng” bình yên, được ví như “ốc đảo xanh” với đầy đủ nét đẹp truyền thống đặc trưng của dân tộc Tày mà ai đã ghé thăm đều muốn quay trở lại. Những ngày này, đến tổ 11, phường Bình Minh (thành phố Lào Cai), đâu đâu cũng thấy không khí lao động hăng say, nhộn nhịp của bà con. Đàn ông làm đất, phụ nữ...

Tin nổi bật

Tin mới nhất