Thủ đoạn đánh cắp mã OTP bằng cuộc gọi tự động
- Nguyễn Sơn
- •
Bot OTP sẽ tự động gọi đến nạn nhân, mạo danh nhân viên một tổ chức đáng tin cậy, thuyết phục nạn nhân nói mã OTP.
OTP (One Time Password – mật khẩu dùng một lần) là phương thức dùng trong xác thực 2 yếu tố (2FA) – tính năng yêu cầu người dùng xác minh danh tính bằng một bước xác thực thứ hai. Lớp bảo mật bổ sung này được tạo ra nhằm mục đích bảo vệ tài khoản của người dùng ngay cả khi mật khẩu của họ bị đánh cắp.
Mã OTP thường được hệ thống nơi chứa tài khoản gửi qua tin nhắn (qua số điện thoại đăng ký trước), email hay ứng dụng. Mã OTP được cấp mới liên tục, có thời gian khả dụng rất ngắn (khoảng 60 giây hoặc vài phút tùy hệ thống).
Phương thức xác thực được xem là an toàn này, mới đây đã được các chuyên gia bảo mật khuyến cáo có thể bị tấn công phi kỹ thuật.
Các chuyên gia phát hiện một hình thức bot OTP (phần mềm tự động) mới, lừa người dùng tiết lộ OTP, từ đó vô hiệu hóa các biện pháp bảo vệ 2FA.
Bot OTP sẽ tự động gọi đến nạn nhân, mạo danh là nhân viên của một tổ chức đáng tin cậy, sử dụng kịch bản hội thoại được lập trình sẵn để thuyết phục nạn nhân. Khi nạn nhân nhập tên đăng nhập và mật khẩu vào website giả mạo, kẻ lừa đảo sẽ tự động thu thập thông tin ngay lập tức, theo thời gian thực. Sau đó, chúng sẽ đăng nhập và kích hoạt việc gửi mã OTP đến điện thoại của nạn nhân. Khi nạn nhân tiết lộ mã OTP, kẻ tấn công sẽ dùng để truy cập trái phép vào tài khoản để lấy thông tin, tiền, gian lận, hoặc đổi thông tin để chiếm tài khoản..
Những con bot OTP được điều khiển trực tuyến hoặc thông qua nền tảng nhắn tin như Telegram. Chúng còn đi kèm với nhiều tính năng và gói đăng ký khác nhau, kẻ tấn công có thể tùy chỉnh tính năng của bot để mạo danh các tổ chức, sử dụng đa ngôn ngữ và thậm chí chọn tông giọng nam hoặc nữ.
Kịch bản phổ biến và khiến nạn nhân dễ sập bẫy nhất là bot đóng vai tổ chức tài chính gọi điện thông báo tới người dùng rằng ai đó đang cố truy cập vào tài khoản ngân hàng của họ để đánh cắp tiền. Do đó, người dùng cần lập tức đưa mã OTP để bên quản lý sớm can thiệp.
Theo Kaspersky (hãng bảo mật của Nga), từ ngày 1/3 đến ngày 31/5/2024, công cụ của công ty này đã ngăn chặn 653.088 lượt truy cập vào các trang web được tạo ra bởi bộ công cụ phishing (lừa đảo) nhắm vào các ngân hàng; phát hiện 4.721 trang web phishing do các bộ công cụ tạo ra nhằm mục đích vượt qua biện pháp xác thực 2 yếu tố.
Trước khi đánh cắp được mã OTP, kẻ tấn công cần vượt qua lớp đăng nhập đầu tiên là tên và mật khẩu. Để làm được điều này, chúng thường tạo các trang web lừa đảo được thiết kế giống với các trang đăng nhập hợp pháp của ngân hàng, dịch vụ email hoặc tài khoản trực tuyến khác để lừa nạn nhân nhập thông tin. Ngoài ra, dữ liệu này còn có thể mua được từ chợ đen hoặc đánh cắp thông qua lỗ hổng của hệ thống.
Theo đó, các chuyên gia khuyến nghị người dùng tránh nhấp vào liên kết trong tin nhắn, email đáng ngờ. Nếu cần đăng nhập tài khoản, cần đảm bảo nhập chính xác hoặc truy cập qua các dấu trang đã lưu (bookmark). Ngoài ra, có thể sử dụng công cụ kiểm tra tên miền. Nếu website mới được đăng ký gần đây, khả năng cao đây là trang web lừa đảo, theo Kaspersky.
Các ngân hàng, tổ chức uy tín không bao giờ hỏi mã OTP của người dùng hoặc yêu cầu nhập mã OTP qua điện thoại để xác minh danh tính. Trong mọi trường hợp, người dùng tuyệt đối không cung cấp mã OTP qua điện thoại, bất kể người gọi có thuyết phục đến mức nào.
Xem thêm
Từ khóa lừa lấy mã OTP cuộc gọi lừa đảo Bot OTP
