Cảnh giác chiêu trò đánh cắp mã OTP tinh vi vượt qua xác thực 2 yếu tố

Kaspersky đã phát hiện ra hình thức tấn công giả mạo vượt xác thực 2 yếu tố nhằm đánh cắp thông tin người dùng. Ảnh: Getty Images

Xuất hiện hình thức lừa đảo đánh cắp mã OTP vượt qua xác thực 2 yếu tố

Từ ngày 1/3-31/5/2024, Kaspersky đã ngăn chặn được 653.088 lượt truy cập vào các trang web được tạo ra bởi bộ công cụ phishing (lừa đảo) nhắm vào các ngân hàng. Cũng trong khoảng thời gian này, Kasspersky đã phát hiện 4.721 trang web phishing do các bộ công cụ tạo ra nhằm mục đích vượt qua xác thực 2 yếu tố theo thời gian thực.

Khi nạn nhân nhập tên đăng nhập và mật khẩu vào website giả mạo (ngân hàng, dịch vụ email hoặc các tài khoản trực tuyến khác), kẻ lừa đảo sẽ tự động thu thập thông tin ngay lập tức. Sau đó, chúng sẽ đăng nhập và kích hoạt việc gửi mã OTP đến điện thoại của nạn nhân.

Thông thường, ngay cả khi lộ mật khẩu, tài khoản của người dùng sẽ được bảo vệ bằng việc xác thực 2 yếu tố hay xác thực 2 bước. Tuy nhiên, những con bot OTP sẽ tự động gọi điện đến nạn nhân, mạo danh nhân viên của một tổ chức đáng tin cậy. Bot OTP sử dụng kịch bản hội thoại được lập trình sẵn để thuyết phục nạn nhân tiết lộ mã OTP. Thông qua đó, hacker có được mã OTP và sử dụng nó để truy cập trái phép vào tài khoản.

Kẻ lừa đảo ưu tiên sử dụng cuộc gọi thoại thay cho tin nhắn, vì khi áp dụng hình thức này, nạn nhân có xu hướng phản hồi nhanh hơn. Để tăng hiệu quả, bot OTP sẽ mô phỏng giọng điệu và sự vội vã của con người trong cuộc gọi nhằm tạo cảm giác tin cậy và tăng tính thuyết phục.

Những con bot OTP được điều khiển trực tuyến hoặc thông qua nền tảng như Telegram. Chúng còn đi kèm với nhiều tính năng và gói đăng ký khác nhau, kẻ tấn công có thể tùy chỉnh tính năng của bot OTP để mạo danh các tổ chức, sử dụng đa ngôn ngữ và thậm chí chọn tông giọng nam hoặc nữ.

Các tùy chọn nâng cao còn bao gồm giả mạo số điện thoại hiển thị giống như đến từ một tổ chức hợp pháp nhằm đánh lừa nạn nhân một cách tinh vi. Với sự xuất hiện của các bot OTP, người dùng đang phải đối mặt với những nguy cơ mới về bảo mật.

Nâng cao cảnh giác để tránh mắc bẫy lừa đảo vượt qua xác thực 2 yếu tố

Xác thực 2 yếu tố (2FA) là phương thức bảo mật 2 lớp. Khi người dùng đăng nhập tài khoản trên một thiết bị, sẽ phải xác thực việc đăng nhập trên một thiết bị khác. Bước xác thực đăng nhập có thể được thực hiện bằng nhiều cách, ví dụ như: qua tin nhắn sms hay email, qua phần mềm chuyên dụng hoặc bằng sinh trắc học, khóa vật lý,… theo cài đặt của người dùng hoặc yêu cầu của bên cung cấp tài khoản dịch vụ.

Mặc dù 2FA là tính năng bảo mật tiêu chuẩn trong an ninh mạng và được sử dụng nhằm bảo vệ tài khoản của người dùng ngay cả khi mật khẩu của họ bị đánh cắp. Nhưng với bot OTP, các hacker đang vượt qua được bức tường bảo vệ này.

Để ngăn chặn trò lừa đảo tinh vi vượt qua xác thực 2 yếu tố này, các chuyên gia an ninh mạng khuyến nghị:

Người dùng nên tránh nhấp vào các liên kết trong tin nhắn email đáng ngờ. Nếu người dùng cần đăng nhập tài khoản của mình vào một tổ chức bất kỳ, hãy nhập chính xác địa chỉ trang web đó hoặc sử dụng dấu trang đã lưu (bookmark).

Hãy đảm bảo địa chỉ website chính xác và không có lỗi đánh máy. Nếu website mới được đăng ký gần đây, khả năng cao đây là trang web lừa đảo. Ngoài ra, có thể sử dụng công cụ Whois để kiểm tra thông tin đăng ký website.

Tuyệt đối không cung cấp mã OTP qua điện thoại, bất kể người gọi có thuyết phục như thế nào. Các ngân hàng và tổ chức uy tín sẽ không yêu cầu người dùng đọc hoặc nhập mã OTP qua điện thoại để xác minh danh tính.

Ngọc Minh