[Cảnh Báo] Hacker Có Thể Phá 2 Bước Xác Nhận Bằng Phishing Tự Động

January 18, 2019

Theo tổ chức nhân quyền Amnesty International, vừa qua một nhóm hacker nặc danh đã dễ dàng xuyên thủng bức tường bảo mật 2 yếu tố và lừa đảo hơn 1.000 người.

Cụ thể, nhóm này vào hôm 20/12 vừa qua đã công bố một báo cáo ghi lại chi tiết các cuộc tấn công phishing, nhắm mục tiêu đến các nhà báo và nhà hoạt động ở Trung Đông và Bắc Phi thông qua việc sử dụng email giả mạo và các trang đăng nhập lấy cắp thông tin khác.

Mục đích đằng sau các cuộc tấn công này là lừa để nạn nhân trao quyền truy cập vào tài khoản Google và Yahoo của họ cho hacker, ngay cả khi họ đã sử dụng xác thực hai yếu tố. “Điều khiến cho cho các cuộc tấn công này trở nên vô cùng phức tạp và hiệu quả chính là cách thức mà chúng lật đổ các chiến lược bảo mật kỹ thuật số được áp dụng trên các mục tiêu, đây là một quá trình theo kiểu mưa dầm thấm lâu”, Amnesty International nhận định trong một báo cáo về vụ việc này.

Hacker

Nếu bạn chưa biết thì xác thực hai yếu tố là một biện pháp bảo mật được thiết kế để bảo vệ các tài khoản trực tuyến của bạn trong trường hợp mật khẩu bị đánh cắp. Nó hoạt động như thế này: khi bạn cố gắng truy cập vào tài khoản của mình, bạn không chỉ phải nhập thông tin đăng nhập như bình thường mà còn phải cung cấp thêm cả một mã xác thực đặc biệt (sử dụng một lần) được gửi qua điện thoại của mình.

Thật không may, các mật mã đặc biệt được tạo ra bởi hệ thống xác thực hai yếu tố thường chỉ là một chuỗi các số ngẫu nhiên, và đây chính là điểm yếu chí mạng của phương thức bảo mật này. Công việc của tin tặc sẽ là chiếm quyền sử dụng đoạn mã xác thực đó.

Amnesty International cho biết nhóm tin tặc đứng sau vụ tấn công nhắm tới các nhà hoạt động nhân quyền đã loại bỏ xác thực hai yếu tố bằng cách gửi các cảnh báo bảo mật giả mạo nhưng rất có sức thuyết phục, giống như đến từ Google hoặc Yahoo. Các cảnh báo sẽ cho rằng tài khoản của nạn nhân có thể đã bị xâm phạm và cung cấp một liên kết đến trang đăng nhập chính thức để người dùng bắt đầu thiết lập lại mật khẩu. “Đối với hầu hết người dùng, một lời nhắc từ những công ty lớn như Google về việc thay đổi mật khẩu là đủ sức để thuyết phục họ làm theo, và hacker đã nắm bắt cũng như khai thác được tâm lý này của người dùng “, Amnesty International chi sẻ thêm.

2 bước xác thực

Các hacker đã tạo ra một quy trình giả mạo để lừa đảo chiếm đoạt cả mật khẩu lẫn mã xác thực hai yếu tố đặc biệt của nạn nhân. Kết luận này được đưa ra sau khi Amnesty International đã tiến hành điều tra những email đáng ngờ mà tổ chức này nhận được từ các nhà hoạt động nhân quyền và các nhà báo. Để kiểm tra các cuộc tấn công, họ đã tạo một tài khoản Google dùng một lần và sau đó truy cập vào một trong các email lừa đảo. Kết quả là số điện thoại được liên kết với tài khoản Google đó đã nhận được tin nhắn SMS chứa mã xác minh Google giả mạo, nhưng trông rất giống mã hợp lệ.

Ngoài ra, tổ chức này cũng đã tiến hành điều tra xem làm thế nào các tin tặc tạo ra các âm mưu lừa đảo và nhận thấy rằng nhóm các hacker nặc danh này đã vô tình công khai một thư mục trực tuyến mà chúng đang sử dụng để lưu trữ dữ liệu về các cuộc tấn công của mình.

Theo Claudio Guarnieri, một chuyên gia công nghệ tại Amnesty International thì về cơ bản, các hacker đã xây dựng một hệ thống ‘thí điểm tự động’ sẽ khởi chạy Chrome và sử dụng nó để tự động gửi các chi tiết đăng nhập được lấy cắp từ người dùng đến các dịch vụ được chỉ định, bao gồm cả các mã xác minh hai bước được gửi qua SMS.

Quá trình thu thập thông tin tự động của các hacker đóng vai trò rất quan trọng vì nó cho phép chúng nhập mật mã xác thực một lần vào trang đăng nhập Google hoặc Yahoo thực, trước khi mã này hết hạn sử dụng.

Thông thường, những người quan tâm về việc nhận mã xác thực hai yếu tố qua SMS cũng có thể nhận mã thông qua ứng dụng xác thực, chứ không riêng gì SMS, và các mã này được thay đổi cứ sau vài giây. Amnesty International đã không trả lời ngay lập tức câu hỏi của báo giới về việc liệu điều này có ảnh hưởng đến các ứng dụng hay không, nhưng một kỹ thuật viên của tổ chức đã cho biết rằng “cách tiếp cận tương tự có thể được sử dụng để lừa đảo mã từ ứng dụng 2FA như Google Authenticator”.

Tổ chức nhân quyền này vẫn khuyến nghị mọi người nên áp dụng xác thực hai yếu tố, nhưng cũng phải biết rằng hệ thống này vẫn có những hạn chế nhất định chứ không hoàn hảo như mọi người vẫn tưởng, vì vậy, đừng dại dột nghĩ rằng mình hoàn toàn an toàn. Ví dụ, các nhóm tin tặc được tài trợ hoàn toàn có đủ tài nguyên cũng như nguồn lực để tạo ra các âm mưu lừa đảo công phu nhằm phá vỡ các biện pháp bảo vệ hiện nay. Ngoài những kiểu tấn công lừa đảo, chúng cũng có thể cố gắng lây nhiễm phần mềm độc hại cho PC của bạn để đánh cắp thông tin.

Các cá nhân nằm trong tầm ngắm và những nhà bảo vệ nhân quyền thường là mục tiêu của các cuộc tấn công lừa đảo và điều quan trọng là họ phải được trang bị những kiến thức đúng đắn“.

Nếu bạn sẵn sàng rút hầu bao để chi thêm cho vấn đề bảo mật thông tin, bạn cũng có thể đầu tư vào khóa bảo mật để bảo vệ tài khoản trực tuyến của mình. Chúng hoạt động bằng cách thay thế quy trình xác thực hai yếu tố bằng một thiết bị dựa trên phần cứng, và thiết bị này sẽ cần được kết nối với PC của bạn, qua đó giúp đăng nhập vào tài khoản và tài khoản này cũng sẽ được bảo vệ tối ưu hơn. Điểm cộng lớn của khóa bảo mật là rất khó để hacker có thể đánh cắp được, đơn giản bởi nó là một thiết bị phần cứng và để đánh cắp được thì kẻ tấn công phải đích thân đến và lấy nó từ tay bạn. Không phải mọi dịch vụ trực tuyến đều hỗ trợ hình thức bảo mật này, nhưng bạn có thể sử dụng nó để bảo vệ tài khoản của mình trên các dịch vụ phổ biến như Google, Facebook, Dropbox và Twitter.

Các loại khóa bảo mật

Ban biên tập DSH