Hình thức tấn công mới
Xác thực hai yếu tố (2FA) đã trở thành một tính năng bảo mật tiêu chuẩn trong an ninh mạng. Điều này yêu cầu người dùng xác minh danh tính của họ bằng bước xác thực thứ hai, thường là mật khẩu một lần (OTP) được gửi qua tin nhắn văn bản, email hoặc ứng dụng xác thực. Lớp bảo mật bổ sung này nhằm bảo vệ tài khoản của người dùng ngay cả khi mật khẩu của họ bị đánh cắp.
Mặc dù 2FA được nhiều trang web áp dụng rộng rãi và được các tổ chức yêu cầu nhưng gần đây, các chuyên gia an ninh mạng của Kaspersky đã phát hiện ra các hình thức tấn công lừa đảo là tội phạm. Tội phạm mạng sử dụng nó để vượt qua 2FA.
Theo đó, những kẻ tấn công mạng đã chuyển sang hình thức tấn công mạng tinh vi hơn, bằng cách kết hợp lừa đảo với bot OTP tự động để đánh lừa người dùng và truy cập trái phép vào tài khoản của họ. Cụ thể, những kẻ lừa đảo lừa người dùng tiết lộ các OTP này để cho phép họ vượt qua các biện pháp bảo vệ 2FA.
Ngay cả bot OTP, một công cụ tinh vi, cũng được những kẻ lừa đảo sử dụng để chặn mã OTP thông qua các cuộc tấn công kỹ thuật xã hội. Theo đó, những kẻ tấn công thường cố gắng đánh cắp thông tin đăng nhập của nạn nhân bằng các phương pháp như lừa đảo hoặc khai thác lỗ hổng dữ liệu. Sau đó, chúng đăng nhập vào tài khoản của nạn nhân, kích hoạt việc gửi mã OTP đến điện thoại của nạn nhân.
Tiếp theo, bot OTP sẽ tự động gọi điện cho nạn nhân, mạo danh nhân viên của một tổ chức đáng tin cậy, sử dụng kịch bản hội thoại được lập trình sẵn để thuyết phục nạn nhân tiết lộ mã OTP. Cuối cùng, kẻ tấn công nhận được mã OTP thông qua bot và sử dụng nó để truy cập trái phép vào tài khoản của nạn nhân.
Những kẻ lừa đảo thường ưu tiên cuộc gọi thoại hơn tin nhắn văn bản vì nạn nhân có xu hướng phản hồi nhanh hơn khi sử dụng phương pháp này. Theo đó, bot OTP sẽ mô phỏng giọng điệu, sự cấp bách của con người trong cuộc gọi để tạo cảm giác tin cậy và thuyết phục.
Những kẻ lừa đảo kiểm soát bot OTP thông qua bảng điều khiển trực tuyến đặc biệt hoặc nền tảng nhắn tin như Telegram. Những bot này cũng đi kèm với nhiều tính năng và gói đăng ký khác nhau, giúp những kẻ tấn công có lợi thế hơn. Theo đó, kẻ tấn công có thể tùy chỉnh các tính năng của bot để mạo danh tổ chức, sử dụng nhiều ngôn ngữ và thậm chí chọn giọng nam hoặc nữ. Ngoài ra, các tùy chọn nâng cao còn bao gồm việc giả mạo số điện thoại (spoofing), với mục đích làm cho số điện thoại của người gọi có vẻ là của một tổ chức hợp pháp nhằm lừa dối nạn nhân một cách tinh vi.
Để sử dụng bot OTP, trước tiên kẻ lừa đảo cần đánh cắp thông tin đăng nhập của nạn nhân. Họ thường sử dụng các trang web lừa đảo được thiết kế trông giống hệt các trang đăng nhập hợp pháp của ngân hàng, dịch vụ email hoặc các tài khoản trực tuyến khác. Khi nạn nhân nhập tên người dùng và mật khẩu, kẻ lừa đảo sẽ tự động thu thập thông tin này ngay lập tức (theo thời gian thực).
Trong khoảng thời gian từ ngày 1 tháng 3 đến ngày 31 tháng 5 năm 2024, các giải pháp bảo mật của Kaspersky đã ngăn chặn 653.088 lượt truy cập vào các trang web được tạo bởi bộ công cụ lừa đảo nhắm mục tiêu vào các ngân hàng. Dữ liệu bị đánh cắp từ các trang web này thường được sử dụng trong các cuộc tấn công bot OTP. Trong cùng thời gian đó, các chuyên gia đã phát hiện ra 4.721 trang web lừa đảo được tạo bởi các bộ công cụ nhằm vượt qua xác thực hai yếu tố theo thời gian thực.
Không tạo mật khẩu chung
Bà Olga Svistunova, chuyên gia bảo mật của Kaspersky, nhận xét: “Các cuộc tấn công kỹ thuật xã hội được coi là một phương thức lừa đảo cực kỳ tinh vi, đặc biệt với sự xuất hiện của các bot OTP với khả năng mô phỏng các cuộc gọi hợp pháp từ đại diện dịch vụ. Để luôn cảnh giác, điều quan trọng là phải luôn cảnh giác.” và tuân thủ các biện pháp an ninh.”
Bởi trong phân tích 193 triệu mật khẩu được các chuyên gia Kaspersky thực hiện bằng thuật toán đoán thông minh vào đầu tháng 6, đây cũng là những mật khẩu bị xâm nhập và quảng cáo. được bán trên darknet bởi những kẻ trộm thông tin cho thấy 45% (tương đương 87 triệu mật khẩu) có thể bị bẻ khóa thành công trong vòng một phút; Chỉ 23% (hoặc 44 triệu) tổ hợp mật khẩu được coi là đủ mạnh để chống lại các cuộc tấn công và việc bẻ khóa các mật khẩu này sẽ mất hơn một năm. Tuy nhiên, hầu hết các mật khẩu còn lại vẫn có thể bị bẻ khóa trong thời gian từ 1 giờ đến 1 tháng.
Bên cạnh đó, các chuyên gia an ninh mạng cũng tiết lộ những tổ hợp ký tự được sử dụng phổ biến nhất khi người dùng đặt mật khẩu như: Tên: “ahmed”, “nguyen”, “kumar”, “kevin”, “daniel”; các từ thông dụng: “mãi mãi”, “tình yêu”, “google”, “hacker”, “game thủ”; mật khẩu tiêu chuẩn: “password”, “qwerty12345”, “admin”, “12345”, “team”.
Phân tích cho thấy chỉ 19% mật khẩu chứa sự kết hợp của một mật khẩu mạnh, bao gồm một từ không có trong từ điển, cả chữ thường và chữ in hoa, cũng như số và ký hiệu. Đồng thời, nghiên cứu cũng cho thấy 39% mật khẩu mạnh đó vẫn có thể đoán được bằng các thuật toán thông minh trong vòng chưa đầy một giờ.
Điều thú vị là những kẻ tấn công không cần kiến thức chuyên môn hoặc thiết bị tiên tiến để bẻ khóa mật khẩu. Ví dụ: bộ xử lý máy tính xách tay chuyên dụng có thể tìm thấy tổ hợp mật khẩu chính xác gồm 8 chữ cái hoặc số viết thường bằng cách sử dụng vũ lực chỉ trong 7 phút. Ngoài ra, card đồ họa tích hợp sẽ xử lý tác vụ tương tự trong 17 giây. Ngoài ra, các thuật toán đoán mật khẩu thông minh còn có xu hướng thay thế các ký tự (“e” thành “3”, “1” thành “!” hoặc “a” thành “@”) và các biến chuỗi thông dụng (“qwerty”, “12345”, ” asdfg”).
Bà Yuliya Novikova, Giám đốc Digital Footprint Intelligence tại Kaspersky cho biết: “Vô thức, mọi người thường đặt những mật khẩu rất đơn giản, thường là những từ trong từ điển bằng ngôn ngữ mẹ đẻ của họ, chẳng hạn như tên và số cá nhân… Ngay cả những tổ hợp mật khẩu mạnh cũng hiếm khi được đặt khác với xu hướng trên nên hoàn toàn có thể đoán được bằng thuật toán.
Do đó, giải pháp đáng tin cậy nhất là tạo mật khẩu hoàn toàn ngẫu nhiên bằng cách sử dụng trình quản lý mật khẩu hiện đại và đáng tin cậy. Những ứng dụng như vậy có thể lưu trữ khối lượng lớn dữ liệu một cách an toàn, cung cấp khả năng bảo vệ toàn diện và mạnh mẽ cho thông tin người dùng.
Để tăng độ mạnh cho mật khẩu, người dùng có thể áp dụng những thủ thuật đơn giản sau: Sử dụng phần mềm an ninh mạng để quản lý mật khẩu; Sử dụng các mật khẩu khác nhau cho các dịch vụ khác nhau. Bằng cách này, ngay cả khi một trong các tài khoản của bạn bị hack thì những tài khoản khác vẫn an toàn; Cụm mật khẩu giúp người dùng lấy lại tài khoản khi quên mật khẩu. Sẽ an toàn hơn khi sử dụng những từ ít phổ biến hơn. Ngoài ra, họ có thể sử dụng dịch vụ trực tuyến để kiểm tra độ mạnh của mật khẩu.
Không sử dụng thông tin cá nhân, chẳng hạn như ngày sinh nhật, tên thành viên gia đình, vật nuôi hoặc tên cá nhân để đặt mật khẩu của bạn. Đây thường là những lựa chọn đầu tiên mà kẻ tấn công sẽ thử khi bẻ khóa mật khẩu.
Link nguồn: https://cafef.vn/canh-bao-cac-hinh-thuc-tan-cong-gia-mao-de-vuot-xac-thuc-hai-yeu-to-188240623154040372.chn