Thao túng Tâm lý và Trộm OTP: Cách Kẻ xấu Vượt qua Xác thực 2 Yếu tố (2FA)
Xác thực hai yếu tố (2FA), đặc biệt là qua tin nhắn SMS OTP, từ lâu đã được coi là lá chắn bảo mật vững chắc cho tài khoản trực tuyến. Tuy nhiên, tội phạm mạng đã tìm ra cách thích ứng. Hiện nay, kẻ tấn công thường xuyên vượt qua 2FA bằng cách kết hợp kỹ thuật thao túng tâm lý (social engineering) và công nghệ giả mạo để đánh cắp mã OTP. Trong bài viết này, chúng ta sẽ tìm hiểu cách các cuộc tấn công này diễn ra và cách bạn có thể bảo vệ tài khoản bằng các công cụ bảo mật như số điện thoại ảo tạm thời.
Thao túng Tâm lý trong việc Vượt qua 2FA là gì?
Thao túng tâm lý là nghệ thuật dụ dỗ, thuyết phục người dùng tự nguyện cung cấp thông tin bảo mật. Thay vì tấn công vào các lỗ hổng phần mềm phức tạp, kẻ xấu lợi dụng lòng tin, nỗi sợ hãi hoặc sự vội vàng của con người.
Khi nhắm vào phương thức 2FA qua SMS, kẻ lừa đảo không cần tấn công hệ thống của ngân hàng. Chúng trực tiếp liên hệ với nạn nhân, tự xưng là nhân viên ngân hàng hoặc kỹ thuật viên hỗ trợ để yêu cầu nạn nhân cung cấp mã xác nhận nhằm xử lý một lỗi giao dịch khẩn cấp.
Quy trình của một cuộc Tấn công Trộm OTP
- Thu thập dữ liệu: Kẻ tấn công lấy số điện thoại và thông tin cơ bản của nạn nhân từ các dữ liệu bị rò rỉ trực tuyến.
- Cảnh báo giả: Gửi tin nhắn SMS hoặc gọi điện cảnh báo tài khoản của nạn nhân đang bị đăng nhập trái phép.
- Kích hoạt OTP thật: Song song với việc nói chuyện với nạn nhân, kẻ tấn công thực hiện thao tác quên mật khẩu trên trang web thật, khiến hệ thống gửi mã OTP thật về máy nạn nhân.
- Đoạt mã: Yêu cầu nạn nhân đọc mã xác thực để "hủy giao dịch". Sau khi nhận được mã, kẻ tấn công đăng nhập thành công và đổi thông tin khôi phục.
Cách Phòng ngừa và Bảo vệ Tài khoản
- Tuyệt đối không chia sẻ OTP: Không có ngân hàng hoặc dịch vụ uy tín nào yêu cầu bạn đọc mã OTP qua điện thoại.
- Chuyển sang ứng dụng xác thực: Sử dụng các phần mềm tạo mã như Google Authenticator thay vì nhận OTP qua tin nhắn SMS.
- Sử dụng số điện thoại ảo tạm thời: Khi đăng ký tài khoản trên các trang web hoặc ứng dụng không quá quan trọng, hãy dùng số ảo để bảo vệ danh tính, tránh việc số chính của bạn bị lộ và trở thành mục tiêu lừa đảo.
