Xác thực 2 yếu tố (2FA) là tính năng bảo mật tiêu chuẩn trong an ninh mạng. Tính năng này yêu cầu người dùng xác minh danh tính bằng một bước xác thực thứ hai, thường là mật khẩu dùng một lần (OTP) được gửi qua tin nhắn văn bản, email hoặc ứng dụng.
Lớp bảo mật bổ sung này nhằm mục đích bảo vệ tài khoản của người dùng ngay cả khi mật khẩu của họ bị đánh cắp. Tuy vậy, các hacker đang tìm cách qua mặt “bức tường lửa” này bằng các biện pháp tấn công phi kỹ thuật.
 |
Cảnh báo chiêu trò lừa đảo đánh cắp mã OTP bằng cuộc gọi AI. Ảnh minh họa |
Từ ngày 1/3 - 31/5/2024, Kaspersky đã ngăn chặn 653.088 lượt truy cập vào các trang web được tạo ra bởi bộ công cụ phishing (lừa đảo) nhắm vào các ngân hàng. Ngoài ra, đơn vị này còn phát hiện 4.721 trang web lừa đảo do các bộ công cụ tạo ra nhằm mục đích vượt qua biện pháp xác thực 2 yếu tố.
Bot OTP là một công cụ tinh vi được kẻ lừa đảo sử dụng để ngăn chặn mã OTP thông qua hình thức tấn công phi kỹ thuật. Kẻ tấn công thường cố gắng lấy cắp thông tin đăng nhập của nạn nhân bằng các phương thức như phishing hoặc khai thác lỗ hổng dữ liệu để đánh cắp thông tin.
Sau đó, chúng đăng nhập vào tài khoản của nạn nhân, kích hoạt việc gửi mã OTP đến điện thoại của nạn nhân. Kế đến, bot OTP sẽ tự động gọi đến nạn nhân, mạo danh là nhân viên của một tổ chức đáng tin cậy, sử dụng kịch bản hội thoại được lập trình sẵn để thuyết phục nạn nhân tiết lộ mã OTP. Cuối cùng, kẻ tấn công nhận được mã OTP thông qua bot và sử dụng nó để truy cập trái phép vào tài khoản của nạn nhân.
Kẻ lừa đảo ưu tiên sử dụng cuộc gọi thoại hơn tin nhắn vì nạn nhân có xu hướng phản hồi nhanh hơn khi áp dụng hình thức này. Theo đó, bot OTP sẽ mô phỏng giọng điệu và sự khẩn trương của con người trong cuộc gọi nhằm tạo cảm giác đáng tin cậy và tính thuyết phục.
Kẻ lừa đảo điều khiển các bot OTP thông qua các bảng điều khiển trực tuyến đặc biệt, hoặc các nền tảng nhắn tin như Telegram. Những bot này còn đi kèm với nhiều tính năng và gói đăng ký khác nhau tạo điều kiện cho những kẻ tấn công hành động. Kẻ tấn công có thể tùy chỉnh tính năng của bot để mạo danh các tổ chức, sử dụng đa ngôn ngữ và thậm chí chọn tông giọng nam hoặc nữ.
Ngoài ra, các tùy chọn nâng cao còn bao gồm giả mạo số điện thoại (spoofing) với mục đích khiến cho số điện thoại người gọi hiển thị giống như từ một tổ chức hợp pháp nhằm đánh lừa nạn nhân.
Để sử dụng bot OTP, kẻ lừa đảo cần đánh cắp thông tin đăng nhập của nạn nhân trước. Chúng thường sử dụng các trang web phishing được thiết kế giống hệt với các trang đăng nhập hợp pháp của ngân hàng, dịch vụ email hoặc các tài khoản trực tuyến khác. Khi nạn nhân nhập tên đăng nhập và mật khẩu của họ, kẻ lừa đảo sẽ tự động thu thập thông tin này ngay lập tức (theo thời gian thực).
Để không trở thành nạn nhân, người dùng cần tránh nhấp vào các đường link đáng ngờ được gửi đến qua email, tin nhắn. Nếu lần đầu truy cập vào một website nào đó, hãy kiểm tra thông tin về đơn vị chủ quản trang web bằng công cụ Whois.
Khi gõ địa chỉ các trang mạng xã hội hay ngân hàng, người dùng cần tránh lỗi đánh máy có thể vô tình dẫn đến website giả mạo. Thay vì tìm kiếm trên Google để rồi bị dẫn dụ vào các trang web xấu, người dùng nên sử dụng dấu trang để lưu lại các website truy cập thường xuyên.
Các ngân hàng, ví điện tử uy tín không bao giờ hỏi mã OTP của người dùng. Trong mọi trường hợp, người dùng tuyệt đối không cung cấp mã OTP cho người khác, đặc biệt là qua các cuộc gọi, tin nhắn, bất kể nội dung thông tin có vẻ thuyết phục đến đâu.
