Cảnh báo về chiêu trò lừa đảo đánh cắp mã OTP bằng cuộc gọi AI

09:00 | 26/06/2024 | HACKER / MALWARE

Việc xác thực 2 yếu tố bằng mã OTP được xem là biện pháp bảo mật an toàn. Tuy nhiên các tin tặc đã tìm ra kẽ hở để sử dụng phương pháp này tấn công lừa đảo.

Cảnh báo về chiêu trò lừa đảo đánh cắp mã OTP bằng cuộc gọi AI

Xác thực 2 yếu tố (2FA) là tính năng bảo mật tiêu chuẩn trong an ninh mạng. Tính năng này yêu cầu người dùng xác minh danh tính bằng một bước xác thực thứ hai, thường là mật khẩu dùng một lần (OTP) được gửi qua tin nhắn văn bản, email hoặc ứng dụng nhằm đảm bảo đúng người dùng, tránh việc bị đánh cắp tài khoản ngay cả khi đã lộ tên đăng nhập và mật khẩu. Tuy nhiên với hình thức bot OTP mới, người dùng có thể vô tình cung cấp mã cho kẻ gian qua các cuộc gọi lừa đảo, mạo danh, từ đó bị xâm nhập tài khoản.

Khi nạn nhân nhập tên đăng nhập và mật khẩu vào website giả mạo, kẻ lừa đảo sẽ tự động thu thập thông tin ngay lập tức, theo thời gian thực. Sau đó, chúng sẽ đăng nhập và kích hoạt việc gửi mã OTP đến điện thoại của nạn nhân.

Thông thường, ngay cả khi lộ mật khẩu, tài khoản của người dùng sẽ được bảo vệ bằng việc xác thực 2 yếu tố hay xác thực 2 bước. Tuy nhiên, xuất hiện chiêu trò mới khi kẻ lừa đảo sử dụng bot OTP để lừa người dùng tiết lộ mã OTP.

Những bot OTP sẽ tự động gọi điện đến nạn nhân, mạo danh nhân viên của một tổ chức đáng tin cậy. Bot OTP sử dụng kịch bản hội thoại được lập trình sẵn để thuyết phục nạn nhân tiết lộ mã OTP. Thông qua đó, hacker có được mã OTP và sử dụng nó để truy cập trái phép vào tài khoản.

Kẻ lừa đảo ưu tiên sử dụng cuộc gọi thoại thay cho tin nhắn, vì nạn nhân có xu hướng phản hồi nhanh hơn khi áp dụng hình thức này. Để tăng hiệu quả, bot OTP sẽ mô phỏng giọng điệu và sự khẩn trương của con người trong cuộc gọi nhằm tạo cảm giác tin cậy và tăng tính thuyết phục.

Những con bot OTP được điều khiển trực tuyến hoặc thông qua nền tảng nhắn tin như Telegram. Chúng còn đi kèm với nhiều tính năng và gói đăng ký khác nhau, kẻ tấn công có thể tùy chỉnh tính năng của bot để mạo danh các tổ chức, sử dụng đa ngôn ngữ và thậm chí chọn tông giọng nam hoặc nữ.

Các tùy chọn nâng cao còn bao gồm giả mạo số điện thoại hiển thị giống như đến từ một tổ chức hợp pháp nhằm đánh lừa nạn nhân một cách tinh vi. Với sự xuất hiện của các bot OTP, người dùng đang phải đối mặt với những nguy cơ mới về bảo mật.

Trong khoảng thời gian từ ngày 01/3 đến ngày 31/5/2024, Kaspersky đã ngăn chặn 653.088 lượt truy cập vào các trang web được tạo ra bởi bộ công cụ phishing (lừa đảo) nhắm vào các ngân hàng. Cũng trong khoảng thời gian đó, Kaspersky phát hiện 4.721 trang web lừa đảo do các bộ công cụ tạo ra nhằm mục đích vượt qua biện pháp xác thực 2 yếu tố.

Để không trở thành nạn nhân, người dùng cần tránh nhấp vào các đường link đáng ngờ được gửi đến qua email, tin nhắn. Nếu lần đầu truy cập vào một website nào đó, hãy kiểm tra thông tin về đơn vị chủ quản trang web bằng công cụ Whois.

Khi gõ địa chỉ các trang mạng xã hội hay ngân hàng, người dùng cần tránh lỗi đánh máy có thể vô tình dẫn đến website giả mạo. Thay vì tìm kiếm trên Google để rồi bị dẫn dụ vào các trang web xấu, người dùng nên sử dụng dấu trang để lưu lại các website truy cập thường xuyên.

Các ngân hàng, ví điện tử uy tín không bao giờ hỏi mã OTP của người dùng. Trong mọi trường hợp, người dùng tuyệt đối không cung cấp mã OTP cho người khác, đặc biệt là qua các cuộc gọi, tin nhắn, bất kể nội dung thông tin có vẻ thuyết phục đến đâu.

Hà Phương

‹ › ×

Tin liên quan

Cảnh giác chiêu trò lừa đảo siêu tinh vi giả danh nhân viên giao hàng

10:00 | 28/08/2024

Thế giới công nghệ phát triển không ngừng, mang lại vô vàn tiện ích cho cuộc sống, nhưng cũng mở ra không ít cơ hội cho những kẻ lừa đảo tinh vi. Một trong những chiêu trò mới nhất, đang khiến nhiều người “tiền mất tật mang”, chính là giả danh nhân viên giao hàng để chiếm đoạt tài sản. Số vụ lừa đảo theo hình thức này tăng vọt trong thời gian gần đây, Bộ TT&TT cảnh báo cần hết sức chú ý và cảnh giác trước những chiêu trò của kẻ gian.

Hơn 12 triệu dữ liệu bí mật và khóa xác thực bị rò rỉ trên GitHub trong năm 2023

14:00 | 26/03/2024

Người dùng và các nhà phát triển đã vô tình tiết lộ khoảng 12,8 triệu dữ liệu bí mật và khóa xác thực nhạy cảm trên GitHub vào năm 2023, tăng 28% so với năm 2022.

Tăng cường bảo mật, hàng loạt ngân hàng thay đổi phương thức xác thực OTP từ 1/7

08:00 | 08/07/2019

Hàng loạt ngân hàng thông báo thay đổi phương thức xác thực mã OTP trong các giao dịch ngân hàng điện tử.

Chiến dịch đánh cắp mã OTP ảnh hưởng tới người dùng 113 quốc gia

14:00 | 05/08/2024

Các chuyên gia bảo mật vừa phát hiện chiến dịch độc hại nhằm vào thiết bị Android toàn cầu, sử dụng hàng nghìn bot Telegram để lây nhiễm mã độc đánh cắp mã OTP của người dùng tại 113 quốc gia.

Phát động chiến dịch “Nhận diện lừa đảo”

13:00 | 19/07/2024

Ngày 17/7, tại Hà Nội, Cục An toàn thông tin (Bộ TT&TT) và Tập đoàn Meta (công ty mẹ của Facebook) phát động chiến dịch "Nhận diện lừa đảo", được tổ chức tại Việt Nam trong năm 2024. Chiến dịch nhằm chia sẻ tới các hình thức phòng tránh lừa đảo trực tuyến hữu ích tới cộng đồng người dùng mạng xã hội.

Bảo mật trong giao dịch sử dụng công nghệ xác thực OTP

15:34 | 19/07/2011

Nhu cầu giao dịch, trao đổi thông tin trên các mạng truyền thông ngày càng tăng, đòi hỏi các dịch vụ đảm bảo tính an toàn cho tài khoản người dùng cũng phải phát triển phù hợp. Một trong những công nghệ đáp ứng yêu cầu đó là Mật khẩu dùng môt lần (One - time password - OTP).

Xuất hiện hình thức lừa đảo mới: Quét mã QR code trên thẻ để nhận tiền

08:00 | 22/07/2024

Đầu tháng 7, Công an TP. HCM phát đi thông tin cảnh báo với thủ đoạn mới vừa xuất hiện. Các đối tượng lừa đảo đánh tráo hay gửi mã QR code cho người dân để chiêu dụ nhận quà thưởng hoặc tiền mặt. Nhưng thực chất thông qua mã QR code, chúng chiếm đoạt tài khoản ngân hàng, thông tin cá nhân.

Định danh cuộc gọi giúp phòng tránh lừa đảo trực tuyến

09:00 | 15/11/2024

Trong bối cảnh tội phạm công nghệ cao gia tăng, mạo danh cơ quan Nhà nước để lừa đảo qua điện thoại khiến nhiều người dân và doanh nghiệp bị ảnh hưởng, Bộ Thông tin và Truyền thông đã chỉ đạo triển khai giải pháp định danh cuộc gọi, giúp người dân nhận diện các cuộc gọi chính thức từ các cơ quan Nhà nước, từ đó giảm thiểu rủi ro bị lừa đảo.

Tin cùng chuyên mục

Tin tặc Salt Typhoon nhắm mục tiêu vào ngành viễn thông thông qua các lỗ hổng trên thiết bị Cisco

09:00 | 25/02/2025

Nhóm tin tặc APT do nhà nước Trung Quốc tài trợ có tên là Salt Typhoon, đã bị phát hiện khai thác 2 lỗ hổng đã biết trong các thiết bị Cisco trong các cuộc tấn công gần đây nhằm vào các nhà cung cấp dịch vụ viễn thông.

Tin tặc tấn công vào hệ thống của Cơ quan địa chính và bản đồ Quốc gia Nga

16:00 | 20/01/2025

Ngày 06/01, nhóm tin tặc Silent Crow được cho là liên quan đến Ukraine tuyên bố đã xâm nhập vào hệ thống của Cơ quan địa chính và bản đồ Quốc gia Nga (Rosreestr) và công bố một phần dữ liệu được cho là trích xuất từ cơ sở dữ liệu của cơ quan này.

Chiến dịch tấn công DDoS botnet mới khai thác các thiết bị IoT trên diện rộng

10:00 | 12/12/2024

Các nhà nghiên cứu của công ty bảo mật đám mây Aqua Nautilus (Mỹ) cho biết một tác nhân đe dọa có tên là Matrix đã được liên kết với một chiến dịch từ chối dịch vụ phân tán (DoD) trên diện rộng, lợi dụng các lỗ hổng và cấu hình lỗi trong các thiết bị Internet vạn vật (IoT) để biến chúng thành một mạng lưới botnet tinh vi.

Cảnh báo lỗ hổng nghiêm trọng trên ProjectSend đang bị khai thác tích cực

10:00 | 04/12/2024

Công ty an ninh mạng VulnCheck (Mỹ) vừa qua đã lên tiếng cảnh báo rằng, tin tặc có thể đang khai thác một lỗ hổng bảo mật nghiêm trọng trên các máy chủ ProjectSend, vốn đã được vá cách đây khoảng một năm.