Bài học rút ra chính
- Tin tặc có thể đánh cắp mã xác thực đa yếu tố (MFA) dựa trên điện thoại, các chuyên gia nói.
- Các công ty điện thoại đã bị lừa chuyển số điện thoại để cho phép bọn tội phạm lấy mã.
- Một cách đơn giản, chi phí thấp để tăng cường bảo mật là sử dụng ứng dụng xác thực trên điện thoại của bạn.
Để giữ an toàn trước tin tặc, hãy ngừng sử dụng mã xác thực đa yếu tố (MFA) dựa trên điện thoại được gửi qua SMS và cuộc gọi thoại, một chuyên gia bảo mật hàng đầu viết trong một phân tích mới.
Mã điện thoại rất dễ bị tin tặc đánh chặn, Alex Weinert, giám đốc bảo mật danh tính của Microsoft, đã viết trong một bài đăng trên blog gần đây. Các nhà quan sát nói rằng mã dựa trên văn bản tốt hơn là không có gì. Nhưng người dùng nên thay thế xác thực dựa trên điện thoại bằng các ứng dụng và khóa bảo mật.
"Các cơ chế này dựa trên các mạng điện thoại chuyển mạch công cộng (PSTN) và tôi tin rằng chúng kém an toàn nhất trong số các phương pháp MFA hiện có", ông viết.
"Khoảng cách đó sẽ chỉ mở rộng khi việc áp dụng MFA làm tăng sự quan tâm của những kẻ tấn công trong việc phá vỡ các phương pháp này và trình xác thực được xây dựng có mục đích mở rộng lợi thế về tính bảo mật và khả năng sử dụng của chúng. Hãy lên kế hoạch chuyển sang tính năng xác thực mạnh không cần mật khẩu ngay bây giờ - ứng dụng xác thực cung cấp ngay lập tức và tùy chọn đang phát triển."
MFA là một phương thức bảo mật trong đó người dùng máy tính chỉ được cấp quyền truy cập vào một trang web hoặc ứng dụng sau khi trình bày thành công hai hoặc nhiều phần bằng chứng cho một cơ chế xác thực. Những mã này thường được gửi qua điện thoại.
Tin tặc Giả vờ là Bạn
Tuy nhiên, có nhiều cách tin tặc có thể truy cập vào mã điện thoại. Trong một số trường hợp, các công ty điện thoại đã bị lừa chuyển số điện thoại để cho phép tin tặc lấy mã.
"Điện thoại không an toàn đến nỗi người dùng thường nhận được các cuộc gọi lừa đảo từ các quốc gia thuộc thế giới thứ ba trong khi hiển thị số điện thoại khu vực của Mỹ", Matthew Rogers, CISO của nhà cung cấp dịch vụ đám mây Syntax, cho biết trong một cuộc phỏng vấn qua email. "Điện thoại cũng là đối tượng của các cuộc tấn công hoán đổi SIM, có thể dễ dàng vượt qua MFA qua tin nhắn văn bản."
Gần đây, người dẫn chương trình radio nổi tiếng của đài BBC, Jeremy Vine, đã trở thành nạn nhân của một cuộc tấn công dẫn đến việc tài khoản WhatsApp của anh ấy bị xâm nhập.
"Cuộc tấn công đã lừa Vine thành công bắt đầu bằng việc nhận được một tin nhắn SMS dường như không được yêu cầu có chứa mã xác thực hai yếu tố đến tài khoản của họ", Ray Walsh, chuyên gia bảo mật dữ liệu tại trang web đánh giá quyền riêng tư ProPrivacy, cho biết trong một cuộc phỏng vấn qua email.
"Sau đó, nạn nhân nhận được một tin nhắn trực tiếp từ một người liên hệ cho rằng họ đã tình cờ gửi cho họ một mã. Cuối cùng, nạn nhân được yêu cầu chuyển tiếp tin tặc, mã này cho phép họ truy cập ngay vào tài khoản của nạn nhân.."
Phần mềm cũng có thể là một vấn đề. George Freeman, cố vấn giải pháp tại nhóm chính phủ LexisNexis Risk Solutions, cho biết trong một cuộc phỏng vấn qua email: "Do các lỗ hổng thiết bị, MFA có thể bị nghe trộm bởi một ứng dụng bị rò rỉ hoặc một thiết bị bị xâm nhập mà người dùng không hề hay biết".
Đừng từ bỏ điện thoại của bạn
Tuy nhiên, MFA dựa trên văn bản tốt hơn là không có gì, các chuyên gia nói. "MFA là một trong những công cụ mạnh mẽ nhất mà người dùng có để bảo vệ tài khoản của họ", Mark Nunnikhoven, phó chủ tịch nghiên cứu đám mây của công ty an ninh mạng Trend Micro, cho biết trong một cuộc phỏng vấn qua email.
"Nó nên được bật bất cứ khi nào có thể. Nếu bạn có lựa chọn, hãy sử dụng ứng dụng xác thực trên điện thoại thông minh của bạn - nhưng cuối cùng, chỉ cần đảm bảo rằng MFA được bật ở bất kỳ hình thức nào."
Một cách đơn giản, chi phí thấp để tăng cường bảo mật là sử dụng ứng dụng xác thực trên điện thoại của bạn, Peter Robert, đồng sáng lập và Giám đốc điều hành của công ty CNTT Expert Computer Solutions, cho biết trong một cuộc phỏng vấn qua email.
“Nếu bạn có ngân sách và coi vấn đề bảo mật là quan trọng, tôi khuyên bạn nên đánh giá các khóa MFA dựa trên phần cứng," anh ấy nói thêm. "Đối với các doanh nghiệp và cá nhân quan tâm đến bảo mật, tôi cũng khuyên bạn nên sử dụng dark web dịch vụ giám sát để cho bạn biết liệu thông tin cá nhân về bạn có sẵn có và được rao bán trên dark web hay không."
Để có cách tiếp cận theo kiểu Nhiệm vụ bất khả thi hơn, FIDO2 tiêu chuẩn mới với Webauthn sử dụng xác thực sinh trắc học, Freeman nói. "Người dùng kết nối với trang web tài chính, nhập tên người dùng, trang web liên hệ với thiết bị di động của [thiết bị] người dùng, ứng dụng bảo mật trên [điện thoại] sau đó nhắc người dùng nhập ID khuôn mặt hoặc vân tay [của họ]. Khi thành công, ứng dụng này sẽ xác thực phiên web, "ông nói.
Với rất nhiều mối đe dọa có thể xảy ra, có lẽ đã đến lúc bắt đầu tìm kiếm các cách an toàn hơn để đăng nhập vào các trang web lưu trữ thông tin cá nhân. Tin tặc có thể ẩn nấp trên web chỉ chờ đánh chặn mật khẩu của bạn.