Các phương pháp xác thực 2 yếu tố của Yahoo Mail và Gmail bị vượt qua

09:00 | 03/01/2019 | HACKER / MALWARE

Các nhà nghiên cứu cho biết, một chiến dịch lừa đảo gần đây nhắm vào các quan chức, nhà hoạt động và nhà báo của chính phủ Mỹ đã sử dụng kỹ thuật cho phép kẻ tấn công vượt qua các phương pháp bảo vệ xác thực 2 yếu tố được cung cấp bởi các dịch vụ như Gmail và Yahoo Mail. Sự việc này nhấn mạnh hơn những rủi ro của phương pháp xác thực 2 yếu tố dựa trên đăng nhập một lần nhấn (one-tap login) hoặc mã đăng nhập một lần (OTP), đặc biệt nếu OTP được gửi qua SMS.

Các phương pháp xác thực 2 yếu tố của Yahoo Mail và Gmail bị vượt qua

Trong một bài đăng trên trang cá nhân, các nhà nghiên cứu của công ty bảo mật Certfa Lab (Iran) cho biết, những kẻ tấn công làm việc cho chính phủ Iran đã thu thập thông tin chi tiết về các mục tiêu tấn công và sử dụng những thông tin này để viết email lừa đảo phù hợp mức độ an ninh của mục tiêu. Các email có chứa hình ảnh ẩn để thông báo cho những kẻ tấn công khi nào các mục tiêu đang xem email theo thời gian thực. Khi mục tiêu nhập mật khẩu vào trang đăng nhập Gmail hoặc Yahoo Mail giả mạo, những kẻ tấn công sẽ gần như đồng thời nhập thông tin đăng nhập của nạn nhân vào trang đăng nhập thực. Nếu các tài khoản được bảo vệ bởi xác thực 2 yếu tố, những kẻ tấn công sẽ chuyển hướng nạn nhân đến một trang mới yêu cầu OTP. Nói cách khác, kẻ tấn công kiểm tra tên người dùng và mật khẩu của nạn nhân theo thời gian thực trên máy chủ của chúng và ngay cả khi nạn nhân sử dụng phương pháp xác thực 2 yếu tố như tin nhắn, ứng dụng xác thực hoặc đăng nhập một lần nhấn, chúng cũng có thể lừa nạn nhân để đánh cắp thông tin đó.

Trong một email, đại diện của Certfa cho biết, các nhà nghiên cứu của công ty xác nhận rằng kỹ thuật này đã truy cập trái phép thành công các tài khoản được bảo vệ bởi xác thực 2 yếu tố dựa trên SMS. Tuy nhiên, chưa thể xác nhận kỹ thuật này thành công với các tài khoản được bảo vệ bởi xác thực 2 yếu tố dựa trên OTP trong các ứng dụng như Google Authenticator hoặc ứng dụng tương đương từ hãng bảo mật Duo Security (Mỹ).

Về lý thuyết, kỹ thuật tấn công này hoàn toàn có thể thành công đối với các ứng dụng dựa trên OTP hoặc yêu cầu người dùng nhấp vào nút cho phép như Google Authenticator và các ứng dụng xác thực 2 yếu tố khác. Khi nạn nhân nhập mật khẩu vào trang đăng nhập Gmail hoặc Yahoo Mail giả mạo, họ sẽ mở ứng dụng xác thực 2 yếu tố theo chuyển hướng trong trang giả mạo hoặc nhận thông báo từ ứng dụng trên điện thoại - miễn là nạn nhân có phản hồi trong khoảng thời gian quy định (thường là 30 giây), kẻ tấn công sẽ lấy được quyền truy cập. Điều duy nhất mà phương pháp xác thực 2 yếu tố đóng vai trò trong kịch bản này là bổ sung thêm một bước xác thực vô nghĩa.

Tuy nhiên, đáng chú ý là cuộc tấn công này là không thể chống lại biện pháp xác thực 2 yếu tố sử dụng khóa bảo mật tiêu chuẩn công nghiệp, ít nhất là trên lý thuyết. Các khóa bảo mật này kết nối qua USB máy tính, hoặc sử dụng Bluetooth hay Giao tiếp trường gần (Near Field Communication) trên điện thoại. Gmail và các loại tài khoản Google khác hiện có khả năng hoạt động với các khóa tuân theo U2F, một tiêu chuẩn được phát triển bởi Liên minh Fido Alliance. Một nghiên cứu kéo dài hai năm với hơn 50.000 nhân viên Google đã kết luận rằng, khóa bảo mật vượt trội hơn điện thoại thông minh và hầu hết các hình thức xác thực hai yếu tố khác cả về mức độ bảo mật và độ dễ sử dụng.

Google cũng cung cấp chương trình bảo vệ nâng cao (Advanced Protection Program), trong đó yêu cầu khóa bảo mật được sử dụng làm phương tiện duy nhất của xác thực 2 yếu tố khi truy cập Gmail và các loại tài khoản Google khác. Đây là một bước mà nhiều tổ chức có thể chưa sẵn sàng triển khai, nhưng người dùng thông thường nên tạo thói quen sử dụng khóa bảo mật nhiều nhất có thể, mặc dù phương thức xác thực 2 yếu tố qua ứng dụng vẫn có thể được coi là một biện pháp xác thực dự phòng. Mục tiêu của chiến lược này là tạo cho người dùng thái độ cẩn trọng khi trang web mà họ đăng nhập yêu cầu sử dụng ứng dụng xác thực 2 yếu tố thay cho khóa bảo mật mà họ thường sử dụng.

Ngoài kỹ thuật vượt qua xác thực 2 yếu tố, chiến dịch lừa đảo mà Certfa phát hiện được thực hiện thành công còn vì những lý do khác. Chẳng hạn như lưu trữ các trang độc hại trên trang web sites.google.com và gửi email từ các địa chỉ như notifications.mailservices@gmail.com và noreply.customermails@gmail.com để lừa nạn nhân rằng đây chính là nội dung do chính Google cung cấp. Kẻ tấn công cũng dành hơn 20 tên miền Internet riêng biệt để phù hợp với các dịch vụ email mà nạn nhân sử dụng.

Nguyễn Anh Tuấn

Theo Ars Technica

‹ › ×

Tin liên quan

Hướng dẫn thiết lập tính năng bảo mật cho tài khoản Gmail

10:00 | 11/07/2022

Trong thời đại phát triển công nghệ số, việc trao đổi thông tin, thư điện tử qua email không còn là điều mới mẻ. Trong đó, nổi bật là dịch vụ thư điện tử Gmail của Google đã trở thành dịch vụ email phổ biến nhất. Tuy nhiên, song song với sự phát triển này vẫn tồn tại nhiều nguy cơ và mối đe dọa hiện hữu như tấn công đánh cắp thông tin, bảo mật tài khoản người dùng. Chính vì vậy, bảo mật tài khoản email được xem là vấn đề quan trọng. Bài viết này sẽ gửi đến quý độc giả hướng dẫn thiết lập những tính năng cơ bản và cần thiết nhằm bảo vệ tài khoản Gmail được an toàn, bảo mật hơn.

U2F – Phương thức xác thực 2 yếu tố chống phishing và MitM

09:00 | 21/08/2018

Nhóm nghiên cứu và phát triển của Công ty cổ phần An ninh mạng Việt Nam (VSEC) chuyên nghiên cứu các công nghệ kỹ thuật về an toàn thông tin. Trong thời gian gần đây, nhóm đã nghiên cứu các khía cạnh về bảo mật và ứng dụng của phương thức xác thực bảo mật mới, trong đó có phương thức xác thực 2 yếu tố U2F, từ đó đưa ra sản phẩm U2F thương mại riêng sẽ được VSEC công bố trong thời gian tới. Với các cách thức tấn công người dùng ngày càng tinh vi, U2F sẽ giúp ích tích cực vào việc chống lại các rủi ro an toàn thông tin.

Kết hợp các phương pháp xác thực trong ngân hàng để tăng tính bảo mật

13:00 | 18/09/2018

Một trong những yêu cầu quan trọng của của an toàn thông tin là xác thực danh tính (authentication) của đối tượng được cấp quyền sử dụng các tài nguyên điện toán (authorization digital resources) như truy nhập tài khoản, thực hiện giao dịch trực tuyến, hay truy nhập máy tính… Phương thức xác thực trực tuyến phổ biến nhất là dùng mật khẩu (được đảm bảo bởi giao thức mật mã TLS) kết hợp với http để tạo thành giao thức https. Tuy nhiên, độ an toàn của phương thức này không cao, vì mật khẩu cần không quá khó nhớ đối với người dùng nhưng phải đảm bảo tính khó bị phá. Cho nên, các phương thức xác thực trực tuyến hiện đại thường kết hợp mật khẩu với các yếu tố khác để tạo nên xác thực đa yếu tố (multi-factor authentication).

Hệ thống xác thực mật khẩu 3 lớp

09:00 | 23/05/2018

Mật khẩu là nhân tố được sử dụng phổ biến nhưng cũng được xem là một mắt xích yếu trong hệ thống xác thực. Đã có một số giải pháp được phát triển để giúp người dùng tạo và quản lý mật khẩu. Tuy nhiên, các giải pháp vẫn tồn tại các rủi ro gây mất an toàn thông tin. Bài báo này trình bày về hệ thống xác thực mật khẩu 3 lớp. Đây là hệ thống xác thực đa nhân tố kết hợp các tính năng của các sơ đồ xác thực khác nhau.

Xác thực đa nhân tố liệu có an toàn tuyệt đối? (Phần hai)

15:00 | 22/01/2021

Trong phần 2 của bài báo, tác giả Hieupc tập trung chia sẻ về những vấn đề và giải pháp mà người dùng nên quan tâm trong sự thay đổi của xu hướng công nghệ hiện nay.

Sử dụng chế độ bảo mật trong Gmail để bảo vệ thông tin nhạy cảm

12:00 | 23/09/2022

Gmail là dịch vụ thư điện tử phổ biến hiện nay với hàng triệu người sử dụng, do vậy việc đảm bảo an toàn thông tin cho người dùng được Google rất chú trọng phát triển với nhiều tính năng hỗ trợ. Trong đó, Confidential Mode hay được gọi là Chế độ bảo mật là một tính năng hữu ích trong việc thiết lập các tùy chọn email gửi đi. Tính năng này tập trung vào quyền riêng tư, cho phép người dùng đặt ngày hết hạn và mật mã cho thư điện tử.

Tin cùng chuyên mục

Phân tích phần mềm độc hại DinodasRAT trên Linux

19:00 | 30/04/2024

DinodasRAT hay còn được gọi là XDealer là một backdoor đa nền tảng được phát triển bằng ngôn ngữ C++ cung cấp nhiều tính năng độc hại. DinodasRAT cho phép kẻ tấn công theo dõi và thu thập dữ liệu nhạy cảm từ máy tính của mục tiêu. Một phiên bản cho hệ điều hành Windows của phần mềm độc hại này đã được sử dụng trong các cuộc tấn công nhắm mục tiêu vào các thực thể của Chính phủ Guyana và được các nhà nghiên cứu tới từ công ty bảo mật ESET (Slovakia) báo cáo với tên gọi là chiến dịch Jacana. Bài viết sẽ phân tích cơ chế hoạt động của phần mềm độc hại DinodasRAT dựa trên báo cáo của hãng bảo mật Kaspersky.

Tin tặc phát tán phần mềm độc hại qua thiết bị USB trên các nền tảng trực tuyến

10:00 | 21/02/2024

Một tác nhân đe dọa có động cơ tài chính đã sử dụng thiết bị USB để lây nhiễm phần mềm độc hại ban đầu và lạm dụng các nền tảng trực tuyến hợp pháp, bao gồm GitHub, Vimeo và Ars Technica để lưu trữ các payload được mã hóa.

Kho lưu trữ PyPI phân phối phần mềm độc hại WhiteSnake

08:00 | 10/02/2024

Các nhà nghiên cứu an ninh mạng của hãng bảo mật Fortinet (Mỹ) đã xác định được các gói độc hại trên kho lưu trữ Python Package Index (PyPI) mã nguồn mở nhằm phân phối phần mềm độc hại đánh cắp thông tin có tên là WhiteSnake trên hệ thống Windows. Bài viết này tập trung phân tích một số payload trên các gói trong kho lưu trữ PyPI.

Lỗ hổng mới trên chip Qualcomm cho phép tin tặc tấn công từ xa bằng cuộc gọi thoại

07:00 | 15/01/2024

Công ty bán dẫn toàn cầu Qualcomm của Mỹ tiết lộ một lỗ hổng nghiêm trọng mới cho phép các tác nhân đe dọa thực hiện tấn công từ xa thông qua các cuộc gọi thoại qua mạng LTE.