Hacker đã tìm ra cách qua mặt xác thực hai yếu tố của Gmail |
Xác thực hai yếu tố được ca ngợi là một bước tiến đáng kể trong việc bảo mật trực tuyến, cho phép đăng nhập một cách tự tin vào các trang web như Gmail. Các trang web trước đây yêu cầu mật khẩu không an toàn giờ cần mật khẩu phức tạp với hình thức xác thực thứ hai từ thiết bị di động hoặc triển khai các hệ thống hai yếu tố khác. Tuy nhiên, giống với mọi thứ khác, xác thực hai yếu tố không phải không có lỗ hổng và một báo cáo mới đã cho biết chi tiết cách tin tặc lừa đảo phương thức xác thực hai yếu tố này.
Xác thực bằng hệ thống hai yếu tố gồm hai bước, yêu cầu người dùng nhập cả mật khẩu và mã, thường được gửi đến thiết bị di động. Tùy chọn bảo mật này thực sự giúp ngăn chặn tin tặc truy cập vào tài khoản người dùng nếu họ chỉ có quyền truy cập vào một yếu tố, chẳng hạn như mật khẩu của bạn, nếu dữ liệu của trang web bị vi phạm. Nhưng, nếu bạn vô tình đưa mã hai yếu tố của mình cho một cá nhân hoặc trang web độc hại, hệ thống đã bị đánh bại.
Báo cáo bảo mật mới lưu ý rằng tin tặc đã bắt đầu sử dụng quy trình tự động, bằng cách đầu tiên là lừa đảo mật khẩu của bạn từ một trang web lừa đảo, sau đó gửi mật khẩu cho Gmail, kích hoạt tin nhắn văn bản hai yếu tố và cuối cùng bạn gửi tin nhắn đó vào trang web lừa đảo.
Bởi vì một số hệ thống không yêu cầu người dùng xác thực lại để tắt hai yếu tố, tin tặc sau đó có thể nhanh chóng bỏ bước xác thực hai yếu tố này ngay trong tài khoản của bạn. Ngay cả khi không kiểm soát hoàn toàn tài khoản, tin tặc có thể tạo mật khẩu dành riêng cho ứng dụng, mật khẩu phụ có thể được sử dụng để truy cập tài khoản hai yếu tố mà không cần xác thực lại mỗi lần.
Trong suốt năm 2017 và 2018, tin tặc đã nhắm mục tiêu hơn một nghìn tài khoản Google và Yahoo trên khắp Trung Đông và Bắc Phi. Khi thử nghiệm, các chuyên gia phát hiện ra rằng thiết lập điện thoại thông minh để thử nghiệm hệ thống lừa đảo thực sự đã nhận được một tin nhắn văn bản chính hãng từ máy chủ Google để xác thực liên quan đến trang web độc hại.
Mặc dù thông tin này không phải là lý do để bạn từ bỏ bất kỳ hệ thống hai yếu tố nào đang sử dụng, chúng tôi vẫn khuyên bạn nên cẩn thận với các loại tài khoản, mặc dù bạn đã dùng xác thực hai yếu tố.