Hầu hết người dùng các thiết bị thông minh hay các tài khoản xã hội, tài khoản ngân hàng, tài khoản đăng nhập website thanh toán trực tuyến đều sử dụng tính năng xác thực hai yếu tố với lòng tin rằng đây là một phương pháp hiệu quả để ngăn chặn các hacker. Tuy nhiên, theo một công bố mới đây, hệ thống bảo mật hai yếu tố này không hoàn hảo như chúng ta vẫn tưởng.
Lợi dụng lỗ hổng nghiêm trọng trong Kubernetes hàng loạt các thiết bị từ xa bị hack
Mới đây, một nhóm hacker mới đây đã dễ dàng xuyên thủng hệ thống bảo mật 2 yếu tố. Băng nhóm này đã lừa đảo hơn 1.000 người ở khu vực Trung Đông và Bắc Phi, thông qua việc sử dụng email giả mạo và các trang đăng nhập lấy cắp thông tin.
Dành cho những ai chưa biết, xác thực hai yếu tố là một biện pháp bảo mật được thiết kế để bảo vệ các tài khoản trực tuyến của bạn trong trường hợp mật khẩu bị đánh cắp.
Hệ thống này hoạt động với phương thức như sau: Khi bạn cố gắng truy cập vào tài khoản của mình, bạn không chỉ nhập thông tin đăng nhập như bình thường, mà còn phải cung cấp thêm cả một mã xác thực gồm nhiều chữ số được gửi qua số điện thoại cá nhân.
Tuy nhiên, chuỗi mã xác thực này thường chỉ là một chuỗi các số ngẫu nhiên được tạo bởi máy móc, đây cũng chính là điểm yếu của phương thức bảo mật này. Vì thế, các tin tặc đã tìm cách chiếm quyền sử dụng đoạn mã xác thực đó.
Được biết, nhóm tin tặc kể trên đã xuyên thủng phương thức xác thực hai yếu tố bằng cách, gửi các cảnh báo bảo mật giả mạo. Nội dung các cảnh báo lừa nạn nhân rằng, tài khoản của họ có thể đã bị đăng nhập trái phép và yêu cầu họ đặt lại mật khẩu trong đăng nhập chính thức của Google.
Các hacker đã tạo ra một quy trình giả mạo để lừa đảo chiếm đoạt cả mật khẩu lẫn mã xác thực hai yếu tố đặc biệt của nạn nhân. Theo Claudio Guarnieri, một chuyên gia công nghệ thì về cơ bản, các hacker đã xây dựng một hệ thống ‘thí điểm tự động’.
Hệ thống này sẽ khởi chạy Chrome và sử dụng nó để tự động gửi các chi tiết đăng nhập được lấy cắp từ người dùng đến các dịch vụ được chỉ định, bao gồm cả các mã xác minh hai bước được gửi qua SMS.
Sau cùng, các chuyên gia vẫn khuyến nghị mọi người nên áp dụng xác thực hai yếu tố, nhưng cũng phải biết rằng hệ thống này vẫn có những hạn chế nhất định chứ không hoàn hảo như mọi người vẫn tưởng, do đó đừng dại dột nghĩ rằng mình hoàn toàn an toàn.