Các phương pháp xác thực 2 yếu tố của Yahoo Mail và Gmail bị vượt qua

09:00 | 03/01/2019 | HACKER / MALWARE

Các nhà nghiên cứu cho biết, một chiến dịch lừa đảo gần đây nhắm vào các quan chức, nhà hoạt động và nhà báo của chính phủ Mỹ đã sử dụng kỹ thuật cho phép kẻ tấn công vượt qua các phương pháp bảo vệ xác thực 2 yếu tố được cung cấp bởi các dịch vụ như Gmail và Yahoo Mail. Sự việc này nhấn mạnh hơn những rủi ro của phương pháp xác thực 2 yếu tố dựa trên đăng nhập một lần nhấn (one-tap login) hoặc mã đăng nhập một lần (OTP), đặc biệt nếu OTP được gửi qua SMS.

Các phương pháp xác thực 2 yếu tố của Yahoo Mail và Gmail bị vượt qua

Trong một bài đăng trên trang cá nhân, các nhà nghiên cứu của công ty bảo mật Certfa Lab (Iran) cho biết, những kẻ tấn công làm việc cho chính phủ Iran đã thu thập thông tin chi tiết về các mục tiêu tấn công và sử dụng những thông tin này để viết email lừa đảo phù hợp mức độ an ninh của mục tiêu. Các email có chứa hình ảnh ẩn để thông báo cho những kẻ tấn công khi nào các mục tiêu đang xem email theo thời gian thực. Khi mục tiêu nhập mật khẩu vào trang đăng nhập Gmail hoặc Yahoo Mail giả mạo, những kẻ tấn công sẽ gần như đồng thời nhập thông tin đăng nhập của nạn nhân vào trang đăng nhập thực. Nếu các tài khoản được bảo vệ bởi xác thực 2 yếu tố, những kẻ tấn công sẽ chuyển hướng nạn nhân đến một trang mới yêu cầu OTP. Nói cách khác, kẻ tấn công kiểm tra tên người dùng và mật khẩu của nạn nhân theo thời gian thực trên máy chủ của chúng và ngay cả khi nạn nhân sử dụng phương pháp xác thực 2 yếu tố như tin nhắn, ứng dụng xác thực hoặc đăng nhập một lần nhấn, chúng cũng có thể lừa nạn nhân để đánh cắp thông tin đó.

Trong một email, đại diện của Certfa cho biết, các nhà nghiên cứu của công ty xác nhận rằng kỹ thuật này đã truy cập trái phép thành công các tài khoản được bảo vệ bởi xác thực 2 yếu tố dựa trên SMS. Tuy nhiên, chưa thể xác nhận kỹ thuật này thành công với các tài khoản được bảo vệ bởi xác thực 2 yếu tố dựa trên OTP trong các ứng dụng như Google Authenticator hoặc ứng dụng tương đương từ hãng bảo mật Duo Security (Mỹ).

Về lý thuyết, kỹ thuật tấn công này hoàn toàn có thể thành công đối với các ứng dụng dựa trên OTP hoặc yêu cầu người dùng nhấp vào nút cho phép như Google Authenticator và các ứng dụng xác thực 2 yếu tố khác. Khi nạn nhân nhập mật khẩu vào trang đăng nhập Gmail hoặc Yahoo Mail giả mạo, họ sẽ mở ứng dụng xác thực 2 yếu tố theo chuyển hướng trong trang giả mạo hoặc nhận thông báo từ ứng dụng trên điện thoại - miễn là nạn nhân có phản hồi trong khoảng thời gian quy định (thường là 30 giây), kẻ tấn công sẽ lấy được quyền truy cập. Điều duy nhất mà phương pháp xác thực 2 yếu tố đóng vai trò trong kịch bản này là bổ sung thêm một bước xác thực vô nghĩa.

Tuy nhiên, đáng chú ý là cuộc tấn công này là không thể chống lại biện pháp xác thực 2 yếu tố sử dụng khóa bảo mật tiêu chuẩn công nghiệp, ít nhất là trên lý thuyết. Các khóa bảo mật này kết nối qua USB máy tính, hoặc sử dụng Bluetooth hay Giao tiếp trường gần (Near Field Communication) trên điện thoại. Gmail và các loại tài khoản Google khác hiện có khả năng hoạt động với các khóa tuân theo U2F, một tiêu chuẩn được phát triển bởi Liên minh Fido Alliance. Một nghiên cứu kéo dài hai năm với hơn 50.000 nhân viên Google đã kết luận rằng, khóa bảo mật vượt trội hơn điện thoại thông minh và hầu hết các hình thức xác thực hai yếu tố khác cả về mức độ bảo mật và độ dễ sử dụng.

Google cũng cung cấp chương trình bảo vệ nâng cao (Advanced Protection Program), trong đó yêu cầu khóa bảo mật được sử dụng làm phương tiện duy nhất của xác thực 2 yếu tố khi truy cập Gmail và các loại tài khoản Google khác. Đây là một bước mà nhiều tổ chức có thể chưa sẵn sàng triển khai, nhưng người dùng thông thường nên tạo thói quen sử dụng khóa bảo mật nhiều nhất có thể, mặc dù phương thức xác thực 2 yếu tố qua ứng dụng vẫn có thể được coi là một biện pháp xác thực dự phòng. Mục tiêu của chiến lược này là tạo cho người dùng thái độ cẩn trọng khi trang web mà họ đăng nhập yêu cầu sử dụng ứng dụng xác thực 2 yếu tố thay cho khóa bảo mật mà họ thường sử dụng.

Ngoài kỹ thuật vượt qua xác thực 2 yếu tố, chiến dịch lừa đảo mà Certfa phát hiện được thực hiện thành công còn vì những lý do khác. Chẳng hạn như lưu trữ các trang độc hại trên trang web sites.google.com và gửi email từ các địa chỉ như notifications.mailservices@gmail.com và noreply.customermails@gmail.com để lừa nạn nhân rằng đây chính là nội dung do chính Google cung cấp. Kẻ tấn công cũng dành hơn 20 tên miền Internet riêng biệt để phù hợp với các dịch vụ email mà nạn nhân sử dụng.

Nguyễn Anh Tuấn

Theo Ars Technica

‹ › ×

Tin liên quan

Hướng dẫn thiết lập tính năng bảo mật cho tài khoản Gmail

10:00 | 11/07/2022

Trong thời đại phát triển công nghệ số, việc trao đổi thông tin, thư điện tử qua email không còn là điều mới mẻ. Trong đó, nổi bật là dịch vụ thư điện tử Gmail của Google đã trở thành dịch vụ email phổ biến nhất. Tuy nhiên, song song với sự phát triển này vẫn tồn tại nhiều nguy cơ và mối đe dọa hiện hữu như tấn công đánh cắp thông tin, bảo mật tài khoản người dùng. Chính vì vậy, bảo mật tài khoản email được xem là vấn đề quan trọng. Bài viết này sẽ gửi đến quý độc giả hướng dẫn thiết lập những tính năng cơ bản và cần thiết nhằm bảo vệ tài khoản Gmail được an toàn, bảo mật hơn.

U2F – Phương thức xác thực 2 yếu tố chống phishing và MitM

09:00 | 21/08/2018

Nhóm nghiên cứu và phát triển của Công ty cổ phần An ninh mạng Việt Nam (VSEC) chuyên nghiên cứu các công nghệ kỹ thuật về an toàn thông tin. Trong thời gian gần đây, nhóm đã nghiên cứu các khía cạnh về bảo mật và ứng dụng của phương thức xác thực bảo mật mới, trong đó có phương thức xác thực 2 yếu tố U2F, từ đó đưa ra sản phẩm U2F thương mại riêng sẽ được VSEC công bố trong thời gian tới. Với các cách thức tấn công người dùng ngày càng tinh vi, U2F sẽ giúp ích tích cực vào việc chống lại các rủi ro an toàn thông tin.

Kết hợp các phương pháp xác thực trong ngân hàng để tăng tính bảo mật

13:00 | 18/09/2018

Một trong những yêu cầu quan trọng của của an toàn thông tin là xác thực danh tính (authentication) của đối tượng được cấp quyền sử dụng các tài nguyên điện toán (authorization digital resources) như truy nhập tài khoản, thực hiện giao dịch trực tuyến, hay truy nhập máy tính… Phương thức xác thực trực tuyến phổ biến nhất là dùng mật khẩu (được đảm bảo bởi giao thức mật mã TLS) kết hợp với http để tạo thành giao thức https. Tuy nhiên, độ an toàn của phương thức này không cao, vì mật khẩu cần không quá khó nhớ đối với người dùng nhưng phải đảm bảo tính khó bị phá. Cho nên, các phương thức xác thực trực tuyến hiện đại thường kết hợp mật khẩu với các yếu tố khác để tạo nên xác thực đa yếu tố (multi-factor authentication).

Hệ thống xác thực mật khẩu 3 lớp

09:00 | 23/05/2018

Mật khẩu là nhân tố được sử dụng phổ biến nhưng cũng được xem là một mắt xích yếu trong hệ thống xác thực. Đã có một số giải pháp được phát triển để giúp người dùng tạo và quản lý mật khẩu. Tuy nhiên, các giải pháp vẫn tồn tại các rủi ro gây mất an toàn thông tin. Bài báo này trình bày về hệ thống xác thực mật khẩu 3 lớp. Đây là hệ thống xác thực đa nhân tố kết hợp các tính năng của các sơ đồ xác thực khác nhau.

Xác thực đa nhân tố liệu có an toàn tuyệt đối? (Phần hai)

15:00 | 22/01/2021

Trong phần 2 của bài báo, tác giả Hieupc tập trung chia sẻ về những vấn đề và giải pháp mà người dùng nên quan tâm trong sự thay đổi của xu hướng công nghệ hiện nay.

Sử dụng chế độ bảo mật trong Gmail để bảo vệ thông tin nhạy cảm

12:00 | 23/09/2022

Gmail là dịch vụ thư điện tử phổ biến hiện nay với hàng triệu người sử dụng, do vậy việc đảm bảo an toàn thông tin cho người dùng được Google rất chú trọng phát triển với nhiều tính năng hỗ trợ. Trong đó, Confidential Mode hay được gọi là Chế độ bảo mật là một tính năng hữu ích trong việc thiết lập các tùy chọn email gửi đi. Tính năng này tập trung vào quyền riêng tư, cho phép người dùng đặt ngày hết hạn và mật mã cho thư điện tử.

Tin cùng chuyên mục

Cảnh báo lỗ hổng có điểm CVSS 10/10 trong hệ điều hành của tường lửa PAN-OS

15:00 | 16/04/2024

Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.

Tấn công lừa đảo qua email về tiền điện tử: Đánh cắp từ ví nóng và ví lạnh

09:00 | 10/01/2024

Song song với mức độ phổ biến toàn cầu của tiền điện tử và có nhiều cách thức lưu trữ mới thì các kho công cụ tấn công được sử dụng bởi những tác nhân đe dọa tiền kỹ thuật số cũng ngày càng được mở rộng. Bài viết này dựa trên báo cáo của Kaspersky đề cập đến các phương pháp tấn công email khác nhau được tội phạm mạng sử dụng trong các chiến dịch lừa đảo nhắm vào hai cách lưu trữ tiền điện tử phổ biến nhất: ví nóng và ví lạnh.

Hơn 100 tổ chức của Israel bị tấn công làm rò rỉ dữ liệu

09:00 | 09/01/2024

Một nhóm tin tặc có tên Cyber Toufan được cho là do nhà nước Palestine hậu thuẫn tuyên bố đã tấn công hơn 100 tổ chức của Israel thông qua các hoạt động xóa và đánh cắp dữ liệu. Đây là một phần của chiến dịch tấn công toàn diện mà nguyên nhân là việc căng thẳng chính trị ngày càng gia tăng trong khu vực.

Tin tặc tấn công nhiều cảng của Australia

14:00 | 29/11/2023

Ngày 28/11, DP World Australia - một trong những nhà điều hành cảng biển lớn nhất của Australia cho biết, tin tặc đã xâm nhập nhiều tập tin chứa thông tin cá nhân chi tiết của các nhân viên.