4 chiêu thức tin tặc sử dụng kỹ thuật xã hội để vượt qua cổng bảo mật 2 bước MFA

Trong bài viết này, hãy cùng Kaspersky Proguide khám phá 4 chiêu thức ứng dụng kỹ thuật xã hội mà tin tặc hay sử dụng để vượt qua rào bảo mật MFA nhé!

Khi nói đến bảo mật đăng nhập, một trong những đề xuất nổi bật hiện nay đó - chính là xác thực đa yếu tố - bảo mật 2 bước MFA. Vì mật khẩu giờ đây không còn là Phương thức an toàn và có thể dễ dàng bị hacker bởi các tin tặc, từ đó MFA trở nên rất phổ biến và được xem là một lớp bảo vệ thiết yếu giúp chống lại các hành vi xâm nhập bất hợp pháp của tin tâc. Tuy nhiên, MFA không hẳn là hoàn hảo và bước bảo mật này hoàn toàn có thể bị bỏ qua và hiện tin tặc cũng đang phát triển các chiêu thức tinh vi để vượt qua.

Trong bài viết này, hãy cùng Kaspersky Proguide khám phá 4 chiêu thức ứng dụng kỹ thuật xã hội mà tin tặc hay sử dụng để vượt qua rào bảo mật MFA nhé!

Chiêu thức 1: Tấn công qua lớp ở giữa (Adversary-in-the-middle (AITM))

Các cuộc tấn công AITM liên quan đến việc đánh lừa người dùng tin rằng họ đang đăng nhập vào mạng, ứng dụng hoặc trang web chính hãng. Nhưng thực sự, họ đang cung cấp thông tin của mình cho một kẻ lừa đảo. Điều này cho phép tin tặc chặn mật khẩu và thao túng các biện pháp bảo mật, bao gồm cả lời nhắc MFA. Ví dụ: một email lừa đảo trực tuyến có thể đến hộp thư đến của nhân viên, được coi là một nguồn đáng tin cậy. Nhấp vào liên kết được nhúng sẽ đưa họ đến một trang web giả mạo nơi tin tặc thu thập thông tin đăng nhập của họ.

Mặc dù MFA nên ngăn chặn các cuộc tấn công này một cách lý tưởng bằng cách yêu cầu yếu tố xác thực bổ sung, nhưng tin tặc có thể sử dụng một kỹ thuật được gọi là 'truyền qua 2FA'. Sau khi nạn nhân nhập thông tin đăng nhập của họ trên trang web giả mạo, kẻ tấn công sẽ nhanh chóng nhập các chi tiết tương tự trên trang web hợp pháp. Điều này kích hoạt một yêu cầu MFA hợp pháp mà nạn nhân dự đoán và sẵn sàng chấp thuận, vô tình cấp cho kẻ tấn công quyền truy cập hoàn toàn.

Đây là một chiến thuật phổ biến của các nhóm đe dọa như Storm-1167, những kẻ được biết đến với việc tạo ra các trang xác thực giả mạo của Microsoft để thu thập thông tin xác thực. Chúng cũng tạo một trang lừa đảo thứ hai bắt chước bước MFA trong quy trình đăng nhập của Microsoft, nhắc nạn nhân nhập mã MFA của họ và cấp cho kẻ tấn công quyền truy cập. Từ đó, họ có quyền truy cập vào tài khoản email hợp pháp và có thể sử dụng nó làm nền tảng cho một cuộc tấn công lừa đảo nhiều giai đoạn.

Chiêu thức 2: Bom thông báo nhắc nhở MFA

Chiến thuật này tận dụng tính năng thông báo đẩy trong các ứng dụng xác thực hiện đại. Sau khi xâm phạm mật khẩu, kẻ tấn công cố gắng đăng nhập và gửi lời nhắc MFA tới thiết bị của người dùng hợp pháp. Họ dựa vào việc người dùng nhầm nó với một lời nhắc thực sự và chấp nhận nó hoặc trở nên thất vọng với những lời nhắc liên tục và chấp nhận một lời nhắc để dừng thông báo. Kỹ thuật này, được gọi là ném bom nhanh MFA, gây ra mối đe dọa đáng kể.

Trong một sự cố đáng chú ý, tin tặc từ nhóm 0ktapus đã xâm phạm thông tin đăng nhập của nhà thầu Uber thông qua lừa đảo qua SMS, sau đó tiếp tục quá trình xác thực từ máy mà chúng kiểm soát và ngay lập tức yêu cầu mã xác thực đa yếu tố (MFA). Sau đó, họ mạo danh một thành viên nhóm bảo mật Uber trên Slack, thuyết phục nhà thầu chấp nhận thông báo đẩy MFA trên điện thoại của họ.

Mời bạn xem tiếp phần 2 của bài viết “Cổng bảo mật 2 bước MFA vẫn có thể bị tấn công bởi các chiêu thức này của tin tặc” tại đây.

Hương