Bài học rút ra chính
- Mã xác thực đang bị tấn công bởi các chương trình thoại gọi và hỏi thông tin của bạn.
- Tin tặc có thể sử dụng mã để đột nhập vào các tài khoản từ Apple đến Amazon.
- Đừng gửi thông tin cá nhân qua tin nhắn và gác máy khi nhận bất kỳ cuộc gọi nào đòi bạn phải cung cấp chúng, các chuyên gia nói.
Bạn có thể muốn cẩn thận hơn với người mà bạn nói chuyện điện thoại.
Tin tặc đang sử dụng chương trình giọng nói tinh vi để đánh cắp mật khẩu. Những kẻ tấn công đang ngày càng nhắm mục tiêu vào mã xác thực hai yếu tố (còn được gọi là 2FA) được sử dụng để bảo mật mọi thứ từ tài khoản Apple đến tài khoản Amazon.
"Các bot giọng nói tốt đến mức người dùng có thể dễ dàng tin rằng chúng là xác thực, đặc biệt là khi nó có vẻ giúp ngăn chặn hoạt động độc hại, chẳng hạn như một giao dịch mua đáng ngờ", Joseph Carson của công ty an ninh mạng ThycoticCentrify, nói với Lifewire trong một phỏng vấn qua email. "Thật không may, trên thực tế, tin tặc đang đánh cắp tiền của bạn."
Chatty Bots
Tin tặc sử dụng các bot tùy chỉnh để thực hiện các cuộc gọi tự động yêu cầu mật khẩu tạm thời của bạn, Jonathan Tian, người đồng sáng lập Mobitrix Perfix, một giải pháp cho iPhone, nói với Lifewire. Một số bot khiến bạn nghĩ rằng bạn đang nói chuyện với một đại diện dịch vụ khách hàng thực tế trước khi yêu cầu mã của bạn. Vấn đề gần đây đã được đánh dấu trong Bo mạch chủ.
"Tin tặc có thể dễ dàng kết nối với tài khoản của bạn và thực hiện các giao dịch hoặc bất cứ điều gì họ muốn sau khi bạn gửi mã xác minh", Tian nói thêm.
Kẻ tấn công sử dụng bot có thể có được danh sách tài khoản bị xâm nhập chứa email, tên và số điện thoại, chuyên gia an ninh mạng Steve Tcherchian nói với Lifewire. Sau đó, hacker có thể cố gắng đăng nhập vào các dịch vụ như Amazon hoặc Google. Nhấp vào liên kết 'đặt lại mật khẩu' sẽ kích hoạt một tin nhắn văn bản được gửi đến chủ sở hữu không nghi ngờ.
"Kẻ tấn công sau đó gọi cho chủ sở hữu bằng bot nói rằng tài khoản của họ đã bị xâm phạm và nhập mã được gửi đến điện thoại của họ để xác thực quyền sở hữu tài khoản của họ", anh ấy nói thêm. "Khi chủ sở hữu nhập mã, kẻ trộm giờ đã thiếu yếu tố thứ hai để xâm phạm tài khoản của người dùng."
Các chuyên gia nói rằng bot giọng nói của hacker đang là một vấn đề ngày càng tăng.
"Hiện nay trên thị trường có nhiều bot giọng nói hơn 10 tháng trước - mặc dù chúng vẫn là một khoản đầu tư đắt đỏ", chuyên gia quyền riêng tư Hannah Hart nói với Lifewire.
Bots có thể bắt chước tất cả các loại dịch vụ cho tin tặc phải trả giá, có nghĩa là có khả năng nhiều khách hàng được liên hệ và lừa đảo để chuyển giao mã 2FA hoặc OTP (mật khẩu dùng một lần), Hart nói.
Hiện nay trên thị trường có nhiều bot giọng nói hơn nhiều so với mười tháng trước.
Bởi vì các chương trình thoại không yêu cầu tin tặc phải có kỹ năng đặc biệt trong việc sử dụng các kỹ thuật xã hội, bất kỳ ai cũng có thể sử dụng một kỹ thuật này, "vì vậy có khả năng chúng ta sẽ thấy những tin tặc bắt chước muốn thử vận may của họ", Hart đã thêm.
Lừa đảo và tấn công mạng các loại đã gia tăng nhanh chóng trong những năm gần đây, Bob Lyle, Phó chủ tịch cấp cao của công ty an ninh mạng SpyCloud, nói với Lifewire. Và việc tội phạm sử dụng thông tin đăng nhập bị đánh cắp ngày càng tinh vi.
"Một thách thức lớn là thiếu hiểu biết về mối đe dọa," ông nói. "Do sự gia tăng của các trò gian lận tiếp thị qua điện thoại và các cuộc gọi tự động, nhiều người tiêu dùng cho rằng số điện thoại của họ đã bị xâm phạm mà không nhận ra cách nó có thể được sử dụng để truy cập vào tài khoản của họ."
Bảo vệ bản thân
Có nhiều cách để ngăn bot thoại ăn cắp mã bảo mật quý giá của bạn.
Không bao giờ nhập mã 2FA của bạn trừ khi bạn bắt đầu yêu cầu, Carson nói. Anh ấy cũng gợi ý rằng bạn luôn nghi ngờ về bất kỳ yêu cầu nào yêu cầu mã 2FA của bạn mà bạn không mong đợi.
"Đảm bảo rằng bạn thay đổi mật khẩu của mình theo định kỳ và sử dụng trình quản lý mật khẩu để giúp bạn tạo mật khẩu dài và mạnh duy nhất cho từng tài khoản", anh ấy nói thêm.
Đừng gửi thông tin cá nhân qua tin nhắn, và gác máy khi nhận bất kỳ cuộc gọi nào đòi bạn giao nộp chúng, Hart nói. Thay vào đó, hãy kiểm tra dịch vụ trực tiếp để theo dõi hoạt động tài khoản của bạn và báo cáo bất kỳ nghi ngờ hoặc mối quan tâm nào cho nhóm chăm sóc khách hàng.
"Cũng đáng để truyền bá cho bạn bè và gia đình về những nỗ lực hack khó chịu này," Hart nói thêm. "Rốt cuộc, tất cả chúng ta đều có thể bị nhắm mục tiêu bởi một kẻ lừa đảo và không phải lúc nào cũng dễ dàng xác định liệu một hệ thống tự động có hợp pháp hay không."
