Bảo mật tài khoản của bạn bằng xác thực hai lớp được xem là cách làm hiệu quả để chống đỡ các hacker. Nhưng hệ thống này không hoàn hảo như chúng ta nghĩ.
Theo tổ chức Ân xá Quốc tế, một nhóm hacker bí ẩn đã lừa lấy được các mã xác thực hai lớp của Google và Yahoo qua tin nhắn SMS của gần 1000 người.
Theo công bố, cuộc tấn công này đã nhắm mục tiêu tới các phóng viên cũng như nhà hoạt động có trụ sở tại Trung Đông và Bắc Phi, thông qua việc sử dụng email và các trang đăng nhập (giả mạo).
Mục tiêu đằng sau các cuộc tấn công này là lừa các nạn nhân trao quyền truy cập vào tài khoản Google và Yahoo của họ, thông qua việc lừa lấy được không chỉ thông tin đăng nhập vào tài khoản mà còn cả đoạn mã passcode dùng cho xác thực hai lớp.
Đối với những người chưa biết, cơ chế xác thực hai lớp là một biện pháp được thiết kế để bảo vệ tài khoản trực tuyến của bạn trong trường hợp mật khẩu của bạn bị đánh cắp. Nó hoạt động như sau: khi bạn cố gắng truy cập vào tài khoản, bạn không chỉ phải nhập thông tin đăng nhập mà còn cả nhập vào đoạn passcode dùng một lần được gửi qua điện thoại của bạn.
Theo tổ chức Ân xá Quốc tế, nhóm hacker mà họ đang theo dõi bắt đầu cuộc tấn công bằng cách gửi các cảnh báo giả mạo giống như thật tới từ Google hay Yahoo, điều này khiến chúng dễ thuyết phục được nạn nhân hơn.
Các cảnh báo sẽ tuyên bố rằng tài khoản của nạn nhân đã bị xâm nhập và cung cấp một đường link tới một trang đăng nhập trông giống như thật, để reset lại mật khẩu.
"Với phần lớn người dùng, lời nhắc từ Google yêu cầu đổi mật khẩu dường như là một lý do chính đáng để công ty liên lạc với bạn". Nhưng trên thực tế, trang đăng nhập là giả.
Tổ chức Ân xá Quốc tế đã điều tra chương trình này dựa trên các email đáng ngờ mà nhóm này đã nhận được từ các nhà hoạt động nhân quyền và nhà báo. Để kiểm tra các cuộc tấn công, nhóm đã tạo một tài khoản Google dùng một lần và sau đó nhấp vào đường link trên email lừa đảo của hacker.
Như thủ đoạn lừa đảo thường thấy, trang Gmail giả này sẽ yêu cầu nạn nhân đăng nhập vào tài khoản của họ. Sau khi nạn nhân nhập vào mật khẩu tài khoản, hệ thống tự động của hacker sẽ điều hướng nạn nhân tới một trang web khác (trông y như hàng "chính chủ"), thông báo với họ rằng, chúng sẽ gửi mã xác thực hai lớp qua SMS tới số điện thoại mà họ đã đăng ký cho tài khoản của mình.
Khi người dùng nhận được mã xác thực hai lớp hợp lệ và nhập vào trang web giả mạo khi có yêu cầu, máy chủ của hacker sẽ tự động chuyển tiếp mã xác thực đó đến trang web dịch vụ thực để đăng nhập, tất cả đều diễn ra với tốc độ như người dùng thông thường.
Công cụ của hacker còn tự động tạo ra một App Password (một mật khẩu riêng biệt cho phép các ứng dụng bên thứ ba truy cập vào tài khoản email), vì vậy các hacker có thể duy trì đăng nhập vào tài khoản của người dùng mà không phải làm lại các thao tác này từ đầu.
Theo Claudio Guarnieri, kỹ sư công nghệ của Tổ chức Ân xá Quốc tế, không chỉ với các mã xác thực hai lớp được gửi qua SMS, cách tiếp cận này cũng có thể được sử dụng để lừa lấy mã từ các ứng dụng xác thực hai lớp ví dụ như Google Authenticator.
Bên cạnh đó, báo cáo cũng phát hiện ra một trường hợp khác, hệ thống của hacker tự động giành lấy một tài khoản Yahoo và sau đó chuyển nó sang Gmail, bằng cách sử dụng một dịch vụ dịch chuyển dữ liệu hợp lệ có tên ShuttleCloud.
Công cụ này "cho phép những kẻ tấn công tự động tạo ra ngay lập tức một bản sao tài khoản Yahoo của nạn nhân trong tài khoản Gmail dưới quyền kiểm soát của chúng".
Tuy vậy, báo cáo của tổ chức Ân xá Quốc tế cũng đề cập đến một sự thay thế có thể cho các mã xác thực hai lớp, đó là các khóa phần cứng chứa token bảo mật. Chúng hoạt động tương tự như một biện pháp xác thực hai lớp, nhưng bằng cách cắm khóa này vào trong máy tính của bạn để đăng nhập vào tài khoản cần bảo vệ.
Với thiết bị này, kẻ tấn công cần phải tìm cách tiếp cận và ăn trộm chiếc khóa đó của bạn mới có thể truy cập vào tài khoản của bạn. Điển hình của loại thiết bị này là các Yubikey do hãng Yubico cung cấp. Ngoài ra Google cũng có khóa phần cứng token của riêng mình trong chương trình Advanced Protection Program.
Nguồn: Pcmag