Xác thực hai yếu tố (2FA) đã trở thành tính năng bảo mật tiêu chuẩn trong an ninh mạng. Hình thức này yêu cầu người dùng xác minh danh tính của mình bằng một bước xác thực thứ hai, thường là mật khẩu dùng một lần (OTP) được gửi qua tin nhắn văn bản, email hoặc ứng dụng xác thực. Lớp bảo mật bổ sung này nhằm mục đích bảo vệ tài khoản của người dùng ngay cả khi mật khẩu của họ bị đánh cắp.

Hiện nay, rất nhiều trang web và các tổ chức đã áp dụng rộng rãi, thậm chí bắt buộc thực hiện bảo mật 2FA để bảo vệ các tài khoản trực tuyến. Tuy nhiên, theo phát hiện mới được Kaspersky công bố, tội phạm mạng đã sử dụng các hình thức tấn công giả mạo (phishing) để “khống chế” xác thực hai yếu tố. Đây là hình thức tấn công mạng tinh vi để đánh lừa người dùng tiết lộ các OTP và truy cập trái phép vào tài khoản của họ.

Theo Kaspersky, tội phạm mạng đã sử dụng thủ đoạn kết hợp tấn công giả mạo với các bot OTP - một công cụ tinh vi được sử dụng để ngăn chặn mã OTP thông qua hình thức tấn công phi kỹ thuật. Kẻ tấn công thường cố gắng lấy cắp thông tin đăng nhập của nạn nhân bằng các phương thức như tấn công giả mạo hoặc khai thác lỗ hổng dữ liệu để đánh cắp thông tin. Sau đó, đăng nhập vào tài khoản của nạn nhân, kích hoạt việc gửi mã OTP đến điện thoại của nạn nhân.

Kế đến, bot OTP sẽ tự động gọi đến nạn nhân, mạo danh là nhân viên của một tổ chức đáng tin cậy, sử dụng kịch bản hội thoại được lập trình sẵn để thuyết phục nạn nhân tiết lộ mã OTP. Cuối cùng, kẻ tấn công nhận được mã OTP thông qua bot và sử dụng để truy cập trái phép vào tài khoản của nạn nhân.

Các đối tượng lừa đảo ưu tiên sử dụng cuộc gọi thoại hơn tin nhắn bởi nạn nhân có xu hướng phản hồi nhanh hơn. Chúng điều khiển các bot OTP thông qua các bảng điều khiển trực tuyến đặc biệt hoặc các nền tảng nhắn tin như Telegram. Đặc biệt, các bot OTP cho phép các đối tượng mạo danh các tổ chức, sử dụng đa ngôn ngữ, lựa chọn tông giọng nam hoặc nữ; giả mạo số điện thoại hiển thị giống như từ một tổ chức hợp pháp nhằm đánh lừa nạn nhân một cách tinh vi.

Từ ngày 1/3 - 31/5/2024, các giải pháp bảo mật của Kaspersky đã ngăn chặn hơn 650.000 lượt truy cập vào các trang web được tạo ra bởi bộ công cụ phishing nhắm vào các ngân hàng. Dữ liệu đánh cắp từ các trang web này thường được sử dụng trong các cuộc tấn công bằng bot OTP. Cũng trong khoảng thời gian đó, Kaspersky đã phát hiện 4.721 trang web phishing do các bộ công cụ tạo ra nhằm mục đích vượt qua xác thực hai yếu tố theo thời gian thực.

Bà Olga Svistunova - chuyên gia bảo mật của Kaspersky nhận định: Tấn công phi kỹ thuật được xem là phương thức lừa đảo cực kỳ tinh vi. Đặc biệt, sự xuất hiện của bot OTP với khả năng mô phỏng một cách hợp pháp các cuộc gọi từ đại diện của các dịch vụ. Vì vậy, duy trì sự thận trọng và tuân thủ các biện pháp bảo mật là giải pháp quan trọng nhằm bảo vệ người dùng trong thời đại kỷ nguyên số bùng nổ.

Các chuyên gia của Kaspersky cũng nhấn mạnh, mặc dù 2FA là biện pháp bảo mật quan trọng nhưng không hoàn toàn giải pháp tối ưu. Để không bị sập bẫy lừa tinh vi này, Kaspersky khuyến nghị người dùng tránh truy cập vào các liên kết trong tin nhắn email đáng ngờ. Nếu cần đăng nhập tài khoản vào một tổ chức bất kỳ, hãy nhập chính xác địa chỉ trang web đó hoặc sử dụng dấu trang đã lưu.

Bên cạnh đó, cần đảm bảo địa chỉ website chính xác và không có lỗi đánh máy; không bao giờ cung cấp mã OTP qua điện thoại, bất kể người gọi có vẻ thuyết phục đến mức nào. Các ngân hàng và tổ chức uy tín khác không bao giờ yêu cầu người dùng đọc hoặc nhập mã OTP qua điện thoại để xác minh danh tính.

Với các doanh nghiệp, để bảo vệ toàn diện trước các mối đe dọa an ninh mạng, nên quan tâm nâng cao kiến thức bảo mật cho nhân viên; có thể lựa chọn sản phẩm, giải pháp bảo mật phù hợp, có khả năng bảo vệ theo thời gian thực, hiển thị mối đe dọa, điều tra và ứng phó các sự cố an ninh…