Bảo mật tài khoản của mình bằng xác thực hai lớp được xem như cách làm hiệu quả để chống đỡ các hacker. Nhưng hệ thống này không hoàn hảo. Theo tổ chức Ân xá quốc tế, một nhóm hacker bí ẩn đã qua mặt được cách bảo mật tài khoản này và đánh lừa khoảng 1.000 người.
Hôm qua tổ chức Ân xá Quốc tế đã công bố một báo cáo về cuộc tấn công này thông qua việc sử dụng email và các trang đăng nhập. Cũng theo tổ chức này, nó nhắm tới các phóng viên và các nhà hoạt động ở khu vực Trung Đông và Bắc Phi.
Mục đích của cuộc tấn công này nhằm đánh lừa nạn nhân trao quyền truy cập tài khoản Google và Yahoo cho các hacker, thông qua việc lừa lấy được không chỉ thông tin đăng nhập vào tài khoản mà còn cả đoạn mã passcode dùng cho xác thực hai lớp nữa.
Đối với những người chưa biết, cơ chế xác thực hai lớp hoạt động như sau: bên cạnh các thông tin đăng nhập, người dùng sẽ phải nhập vào đoạn passcode dùng một lần gửi qua điện thoại của mình.
Theo tổ chức Ân xá Quốc tế, nhóm hacker mà họ đang theo dõi bắt đầu cuộc tấn công bằng cách gửi các cảnh báo giả mạo giống như chúng tới từ Google hay Yahoo, điều này khiến chúng dễ thuyết phục được nạn nhân hơn. Các cảnh báo sẽ tuyên bố rằng tài khoản của nạn nhân đã bị xâm nhập và cung cấp một đường link tới một trang đăng nhập trông giống như thật, để reset lại mật khẩu.
"Với phần lớn người dùng, lời nhắc từ Google yêu cầu đổi mật khẩu dường như là một lý do chính đáng để công ty liên lạc với bạn." Nhưng trên thực tế, trang đăng nhập là giả.
Như thủ đoạn lừa đảo thường thấy, trang Gmail giả này sẽ yêu cầu nạn nhân đăng nhập vào tài khoản của họ. Sau khi nạn nhân nhập vào mật khẩu tài khoản, hệ thống tự động của hacker sẽ điều hướng nạn nhân tới một trang web khác, thông báo với họ rằng, chúng sẽ gửi mã xác thực hai lớp qua SMS tới số điện thoại mà họ đã đăng ký cho tài khoản của mình.
Báo cáo của Tổ chức Ân xá Quốc tế cho biết, số điện thoại thử nghiệm họ đưa vào tài khoản Google cũng nhận được SMS chứa mã xác thực hai lớp hợp lệ của Google. Và sau đó trang web lừa đảo kia sẽ yêu cầu nạn nhân nhập vào mã xác thực hai lớp mà họ vừa nhận được. Nhưng tại sao điện thoại của nạn nhân lại nhận được mã xác thực hợp lệ đó?
Về cơ bản, sau khi đánh lừa người dùng nhập mật khẩu của mình vào trang đăng nhập Gmail và Yahoo giả mạo, các máy chủ của hacker sẽ tự động nhập thông tin đăng nhập của nạn nhân vào dịch vụ email hợp lệ, để trả về yêu cầu gửi mã xác thực hai lớp (dịch vụ email hợp lệ sau đó sẽ gửi mã này đến điện thoại người dùng).
Khi người dùng nhận được mã xác thực hai lớp hợp lệ và nhập vào trang web giả mạo khi có yêu cầu, máy chủ của hacker sẽ tự động chuyển tiếp mã xác thực đó đến trang web dịch vụ thực để đăng nhập, tất cả đều diễn ra với tốc độ như người dùng thông thường.
Công cụ của hacker còn tự động tạo ra một App Password – một mật khẩu riêng biệt cho phép các ứng dụng bên thứ ba truy cập vào tài khoản email – vì vậy các hacker có thể duy trì đăng nhập vào tài khoản của người dùng mà không phải làm lại các thao tác này từ đầu.
Không chỉ các mã passcode gửi qua SMS
Theo Claudio Guarnieri, kỹ sư công nghệ của Tổ chức Ân xá Quốc tế, không chỉ với các mã xác thực hai lớp được gửi qua SMS, cách tiếp cận này cũng có thể được sử dụng để lừa lấy mã từ các ứng dụng xác thực hai lớp ví dụ như Google Authenticator.
Tuy vậy, báo cáo của tổ chức Ân xá Quốc tế cũng đề cập đến một sự thay thế khả dĩ cho các mã xác thực hai lớp, đó là các khóa phần cứng chứa token bảo mật. Chúng hoạt động tương tự như một biện pháp xác thực hai lớp, nhưng bằng cách cắm khóa này vào trong máy tính của bạn để đăng nhập vào tài khoản cần bảo vệ.
Với thiết bị này, kẻ tấn công cần phải tìm cách tiếp cận và ăn trộm chiếc khóa đó của bạn mới có thể truy cập vào tài khoản của bạn. Điển hình của loại thiết bị này là các Yubikey do hãng Yubico cung cấp. Ngoài ra Google cũng có khóa phần cứng token của riêng mình trong chương trình Advanced Protection Program.
Tin tổng hợp
Cập nhật công nghệ từ Youtube tại link: https://www.youtube.com/channel/UCOxeYcvZPGf-mGLYSl_1LuA/videos
Để tham gia khóa học công nghệ truy cập link: http://thuvien.hocviendaotao.com
Mọi hỗ trợ về công nghệ email: dinhanhtuan68@gmail.com
