Bảo mật 2 lớp liệu đã an toàn?

Hacker vẫn có thể lấy thông tin người dùng khi đã xác thực 2 lớp

Theo cộng đồng Hacker mũ trắng (WhiteHat Group), việc bảo vệ tài khoản chỉ bằng tên người dùng và mật khẩu không còn an toàn, bởi chúng vẫn dễ dàng bị đánh cắp, dễ đoán hoặc bị bẻ khóa. Do đó, xác thực hai yếu tố (2FA) hoặc nhiều hơn (xác thực đa yếu tố) được hầu hết dịch vụ và nền tảng trực tuyến khuyến cáo sử dụng.

Tuy nhiên, hacker vẫn có nhiều cách để vượt qua xác thực hai yếu tố và chiếm tài khoản, hoặc đánh lừa người dùng tự giao mã khóa cho chúng. Thậm chí, có tới 6 cách để hacker qua mặt xác thực 2 yếu tố.

Cụ thể là lấy mã 2FA thông qua lừa đảo. Với cách này, hacker sẽ thiết kế một website giả mạo giống với trang thật để dụ dỗ người dùng điền thông tin đăng nhập. Không chỉ đánh cắp tên và mật khẩu, kỹ thuật tấn công mới còn lừa người dùng cung cấp luôn mã xác thực 2 yếu tố.

Người dùng cần tỉnh táo, xem kỹ liên kết và không cung cấp bất cứ thông tin đăng nhập nào nếu thấy nghi ngờ. Sau đó, có thể tìm kiếm trên Google để xác định website dịch vụ thật mà mình đang dùng.

Cách thứ hai là lừa người dùng tải phần mềm độc hại. Một biến thế của kỹ thuật MITM (xen giữa máy của người dùng và máy chủ để lừa đảo) là sử dụng phần mềm độc hại nhúng trực tiếp vào trình duyệt.

Mã độc chờ đến khi người dùng đăng nhập vào ngân hàng, nhập 2FA, sau đó thao túng giao dịch chuyển tiền ở chế độ nền. Một số phần mềm độc hại dạng này có thể kể đến là Carberp, Emotet, Spyeye và Zeus.

Trong trường hợp này, người dùng cần kiểm tra lại thông báo chuyển khoản trước khi bấm chuyển tiền, đồng thời thường xuyên dùng phần mềm quét virus trên thiết bị.

Cách thứ ba phổ biến là hacker thực hiện các cuộc gọi lừa đảo. Cách này được thực hiện khi hacker đã có trong tay thông tin tài khoản, tên người dùng và mật khẩu của nạn nhân, chúng vẫn cần 2FA để xác thực. Lúc này, chúng có thể tạo kịch bản gọi điện trực tiếp tới người dùng qua số điện thoại bị lỗi.

Kịch bản quen thuộc nhất là đóng vai nhân viên ngân hàng hoặc dịch vụ đang cung cấp, giả danh công an, cảnh sát nhằm dụ mục tiêu cung cấp mã 2FA, chẳng hạn “giới thiệu quy trình bảo mật mới”, “nâng cấp, chuyển đổi tài khoản” và cần mã xác thực. Nếu không tỉnh táo, người dùng có thể sập bẫy.

Các chuyên gia cảnh báo, nhân viên dịch vụ và cơ quan chức năng không bao giờ yêu cầu người dùng cung cấp thông tin bí mật như vậy, do đó không nên giao mã 2FA cho bất kỳ ai qua điện thoại.

Cách thức thứ tư cũng hay xảy ra là hoán đổi SIM. Mật khẩu dùng một lần (OTP) từng có thời gian thịnh hành khi người dùng chỉ cần mã này được gửi về SIM điện thoại là có thể đăng nhập tài khoản, sau bước nhập mật khẩu đầu tiên.

Tuy nhiên, hacker dùng thủ thuật “lừa” nhà mạng chuyển đổi số điện thoại của nạn nhân sang thẻ SIM do chúng kiểm soát. Nếu tài khoản trực tuyến sử dụng phương thức xác thực qua số điện thoại bằng OTP, chúng sẽ dễ dàng đánh cắp và đổi thông tin tài khoản đã đăng ký nếu hoán đổi SIM thành công.

Các chuyên gia cho rằng, OTP hiện không còn an toàn, nhất là với SIM mới có thời gian sử dụng ngắn.

Cách thứ năm là đánh cắp cookie xác thực. Nhiều dịch vụ cho phép người dùng xác thực 2FA chỉ trong lần đăng nhập đầu tiên và ghi nhớ cho những lần về sau, không cần nhập lại mã. Cách này mang lại sự tiện lợi nhưng cũng đối mặt với nguy cơ bảo mật.

Theo các chuyên gia bảo mật, thông tin ghi nhớ thường nằm trong cookie xác thực, chủ yếu chứa dữ liệu đăng nhập ở dạng mã hóa. Nếu tệp này bị đánh cắp, hacker có thể giải mã thông tin đăng nhập này để sử dụng.

Một phần mềm dạng này là Lumma, từng tấn công hàng loạt máy tính năm 2022 để lấy cookie. Vì vậy, với các tài khoản có tính quan trọng cao như tài khoản ngân hàng, không nên lưu thông tin đăng nhập trên trình duyệt.

Và cách cuối cùng là sử dụng yếu tố tố đăng nhập thứ hai không an toàn để thay thế. Khi thiết lập xác thực 2FA, việc lựa chọn yếu tố thứ hai không an toàn có thể là một lỗ hổng lớn. Nhiều người vẫn sử dụng SMS làm yếu tố thứ hai, mặc dù có phương pháp bảo mật 2FA tốt hơn.

Tuy nhiên, SMS có thể dễ dàng bị tấn công qua các phương thức như hoán đổi SIM, khiến nó không phải lựa chọn an toàn.

Tương tự thì việc sử dụng email làm yếu tố thứ hai cũng không được khuyến khích, trừ khi bạn đã bảo vệ tài khoản email của mình bằng một hệ thống 2FA an toàn.

Kể cả khi sử dụng các yếu tố xác thực yếu kém khác làm phương thức dự phòng, người dùng cũng hay gặp rủi ro. Nhiều dịch vụ trực tuyến cho phép người dùng lưu trữ nhiều yếu tố đăng nhập trong tài khoản, điều này có ích nếu người dùng cần chuyển sang yếu tố khác khi yếu tố chính không hoạt động.

Tuy nhiên, nếu yếu tố chính của bạn không an toàn, hacker vẫn có thể dễ dàng khai thác phương pháp dự phòng này.

Ông Võ Duy Khánh- Trưởng Phòng An ninh di động, Trung tâm Nghiên cứu mã độc (Tập đoàn Công nghệ BKAV) cho hay: “Khi mà các vấn nạn virus và lừa đảo càng ngày càng tinh vi và càng hướng tới từng cá nhân riêng lẻ hơn thì ngoài việc luôn cài đặt các phần mềm diệt virus có bản quyền bảo vệ thường trực, thì người dùng cần thường xuyên theo dõi và cập nhật liên tục các thông tin về virus và lừa đảo trên các kênh chính thống.

Tương tự, khi mà công nghệ càng ngày càng hướng tới việc biến mọi thứ càng giống với đời sống thực tiễn, thì không chỉ dùng công nghệ để ngăn chặn mà người dùng cần được đào tạo và cập nhật nhiều về nhận thức trên không gian mạng”.