Mới đây, một nhóm tin tặc đã dễ dàng vượt qua phương thức xác thực 2 yếu tố. Chúng đã đánh lừa được hơn 1.000 người ở khu vực Trung Đông và Bắc Phi thông qua việc sử dụng thư điện tử và các trang web giả mạo để lừa nạn nhân đăng nhập, lấy cắp thông tin.
Xác thực 2 yếu tố là giải pháp bảo mật được thiết kế để bảo vệ các tài khoản trực tuyến trong trường hợp mật khẩu bị đánh cắp. Phương thức xác thực này được hoạt động như sau: Khi truy cập vào tài khoản, người dùng không chỉ điền thông tin đăng nhập như bình thường, mà còn phải cung cấp thêm một mã xác thực gồm nhiều chữ số được gửi qua số điện thoại cá nhân.
Tuy nhiên, chuỗi mã xác thực thường chỉ là một chuỗi các số ngẫu nhiên được tạo, đây cũng chính là lỗ hổng của phương thức bảo mật này. Vì thế, tin tặc đã tìm cách chiếm quyền sử dụng đoạn mã xác thực đó.
Nhóm tin tặc đã vượt qua phương thức xác thực hai yếu tố bằng cách gửi các cảnh báo bảo mật giả mạo. Nội dung các cảnh báo đánh lừa nạn nhân rằng, tài khoản của họ có thể đã bị đăng nhập trái phép và yêu cầu họ đặt lại mật khẩu trong trang đăng nhập của Google.
Các tin tặc đã tạo ra một quy trình giả mạo để lừa đảo chiếm đoạt mật khẩu và mã xác thực 2 yếu tố của nạn nhân. Theo các chuyên gia, các tin tặc đã xây dựng một hệ thống tự động. Hệ thống này sẽ khởi chạy trên trình duyệt Chrome và tự động đánh cắp các chi tiết đăng nhập của người dùng, rồi gửi đến các dịch vụ được chỉ định, bao gồm cả các mã xác thực 2 yếu tố được gửi qua SMS.
Các chuyên gia khuyến nghị người dùng nên áp dụng phương thức xác thực 2 yếu tố, nhưng cũng cần nhận thức rằng hệ thống này vẫn còn những hạn chế nhất định chứ không thực sự hoàn hảo, do đó cần cẩn trọng bảo vệ thông tin của mình.
ĐT
Theo SecurityBox
16:00 | 08/11/2018
15:00 | 17/02/2022
13:00 | 18/09/2018
15:00 | 22/01/2021
09:00 | 26/01/2021
08:00 | 27/03/2019
09:00 | 21/08/2018
08:00 | 15/11/2024
Hơn 30 lỗ hổng bảo mật đã được tiết lộ trong nhiều mô hình trí tuệ nhân tạo (AI) và máy học (ML) nguồn mở khác nhau. Đáng lưu ý, một số trong đó có thể dẫn đến thực thi mã từ xa và đánh cắp thông tin.
09:00 | 08/11/2024
Các chuyên gia phát hiện ra 02 lỗ hổng Zero-day trong camera PTZOptics định danh CVE-2024-8956 và CVE-2024-8957 sau khi Sift - công cụ chuyên phát hiện rủi ro an ninh mạng sử dụng AI tìm ra hoạt động bất thường chưa từng được ghi nhận trước đó trên mạng honeypot của công ty này.
13:00 | 07/10/2024
Các nhà nghiên cứu cho biết một lỗ hổng bảo mật khiến hàng triệu chiếc xe Kia sản xuất từ năm 2023 có thể bị chiếm quyền điều khiển, cho phép kẻ tấn công kiểm soát từ xa.
10:00 | 01/10/2024
MoneyGram, công ty cung cấp dịch vụ chuyển tiền lớn thứ hai thế giới đã xác nhận bị tấn công mạng sau nhiều ngày người dùng gặp sự cố và phàn nàn về dịch vụ. Sự cố bắt đầu từ ngày 20/9 khiến người dùng không thể nhận tiền hay xử lý giao dịch, website cũng không thể truy cập.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Microsoft tiết lộ rằng, một nhóm tin tặc từ Trung Quốc được theo dõi với tên Storm-0940 đang sử dụng botnet Quad7 để dàn dựng các cuộc tấn công bằng cách dò mật khẩu (password spray) mà rất khó bị phát hiện.
16:00 | 15/11/2024
