4 cách tin tặc có thể phá vỡ xác thực hai yếu tố — và tại sao bạn vẫn nên sử dụng nó

Xác thực hai yếu tố bổ sung thêm một lớp phòng thủ chống lại tin tặc—ngay cả khi mật khẩu của bạn bị đánh cắp hoặc đoán được, một trạm kiểm soát khác sẽ chặn quyền truy cập tài khoản. Tôi thường xuyên khuyên bạn nên bật 2FA như một động thái bảo mật khôn ngoan, đặc biệt đối với bất kỳ tài khoản có giá trị nào (ví dụ: địa chỉ email chính, dịch vụ ngân hàng, v.v.). Nhưng thật không may, 2FA không phải là bằng chứng thất bại.

Thành thật mà nói, không có biện pháp an ninh nào cả. Đối với 2FA, những kẻ tấn công đã phát hiện ra cách để tránh sự bảo vệ mạnh mẽ hơn. Cho dù khai thác điểm yếu của con người hay các lỗ hổng hệ thống đã biết, hiệu ứng này cũng tương tự như việc đá một cánh cửa xuống để vượt qua chốt chết.

Tin tốt: Biết cách các dạng phổ biến của 2FA có thể được bỏ qua sẽ giúp bạn tránh được thủ thuật của hacker và tiếp tục nhận được đầy đủ lợi ích khi có 2FA ở phía sau. Hãy nghĩ về nó giống như hoán đổi trong một tấm tấn công mạnh hơn và ốc vít dài hơn trên cửa trước của bạn.

Tin nhắn văn bản bị đánh cắp

Hình thức xác thực hai yếu tố đơn giản nhất là nhận mã một lần qua tin nhắn văn bản. Phương pháp này cũng được coi là một trong những dạng 2FA yếu nhất vì văn bản có thể bị chặn theo một số cách khác nhau.

Cái nổi tiếng hơn là kích SIM, trong đó tin tặc đánh cắp toàn bộ số điện thoại của bạn từ bạn. Về cơ bản, nó được chuyển giao mà bạn không hề hay biết; kẻ tấn công liên hệ với nhà cung cấp dịch vụ của bạn và liên kết số điện thoại của bạn với thẻ SIM mới (hoặc eSIM). Sau đó, họ sẽ nhận được tất cả các tin nhắn văn bản của bạn, bao gồm cả mã 2FA.

Phương pháp còn lại được gọi là tấn công SS7, trong đó tin nhắn SMS được chuyển hướng. Bạn sẽ không bao giờ biết nó đã được gửi cho bạn, cũng như người khác đã nhận nó thay th. Vì cách thức hoạt động của các giao thức nhắn tin, bạn không thể trực tiếp tránh loại tấn công này.

Cách tránh: Để đề phòng kích SIM, hãy liên hệ với bộ phận hỗ trợ khách hàng của nhà cung cấp dịch vụ điện thoại (hoặc xem trong cài đặt tài khoản của bạn) và hỏi xem bạn có thể tạo mã PIN hoặc password—one tài khoản đặc biệt sẽ được yêu cầu cho bất kỳ thay đổi tài khoản nào không, bao gồm cả việc chuyển sang thẻ SIM mới.

Nhưng cách bảo vệ tốt hơn là chọn một phương pháp khác của 2FA, cũng giải quyết các vấn đề với các cuộc tấn công SS7. Điểm yếu của 2FA dựa trên văn bản vốn có trong cách hệ thống viễn thông của chúng tôi hoạt động.

Phê duyệt spam

Một hình thức xác thực hai yếu tố khá mạnh là thông qua một loại ứng dụng gửi thông báo đẩy đến điện thoại của bạn, yêu cầu quyền cho phép các thiết bị mới. Nếu bạn chấp thuận yêu cầu, quyền truy cập tài khoản sẽ được cấp.

Những kẻ tấn công có thể vũ khí hóa hệ thống thông báo này. Bằng cách gửi yêu cầu đến điện thoại hoặc thiết bị, người dùng có thể đưa ra phê duyệt mà không thực sự có ý nghĩa to— do mệt mỏi do lũ lụt hoặc vô tình nhấn nhầm nút trong khi xóa thông báo.

Làm thế nào để tránh: Sử dụng mật khẩu duy nhất, mạnh mẽ cho tài khoản của bạn. Ngoài ra, hãy đề phòng các cuộc tấn công lừa đảo. Nếu kẻ tấn công không thể đánh cắp, đoán hoặc hack mật khẩu của bạn, chúng không thể spam bạn bằng các yêu cầu phê duyệt.

(Và nếu bạn từng thấy mình gặp phải kiểu tấn công mệt mỏi 2FA này, hãy thay đổi mật khẩu tài khoản của bạn ngay lập tức. Sử dụng một phương pháp thay thế của xác minh 2FA, giống như một mã sao lưu đã lưu, nếu bạn phải đăng nhập vào tài khoản của bạn đầu tiên để làm như vậy (A alternative method of 2FA verification, like a saved backup code, if you have to log into your account first to do so)

Lừa đảo

Mã 2FA sử dụng một lần có thể được sử dụng bởi bất kỳ ai, bất kể nếu được gửi qua tin nhắn văn bản hoặc được tạo trong ứng dụng.Điều đó có nghĩa là nếu bạn đọc mã qua điện thoại hoặc gửi ảnh chụp màn hình cho người khác, họ có thể vào tài khoản của bạn nếu họ có mật khẩu.

Các cuộc tấn công lừa đảo có thể đánh cắp cả mật khẩu và mã xác thực hai yếu tố của bạn. Nếu bạn nhập hoặc nhập thông tin đó vào trang đăng nhập giả mạo hoặc bị xâm phạm, tin tặc sau đó có thể sử dụng thông tin xác thực của bạn. Điều tương tự cũng áp dụng nếu ai đó gọi cho bạn và yêu cầu mã 2FA hiện tại hiển thị trong ứng dụng của bạn.

Làm thế nào để tránh: Từ chối cung cấp mã của bạn cho bất kỳ ai yêu cầu. Hãy thận trọng về những trang web bạn truy cập và các biểu mẫu bạn điền vào. Ngoài ra, đừng tải xuống các ứng dụng hoặc tiện ích mở rộng trình duyệt không được các chuyên gia khuyên dùng rộng rãi. Bạn có thể vô tình cài đặt phần mềm độc hại trên thiết bị của mình sẽ âm thầm đánh cắp mã 2FA của bạn.

Bỏ qua phím FIDO

Các khóa bảo mật (như Yubikeys) được coi là hình thức xác thực hai yếu tố an toàn nhất. Bạn phải có mặt thực tế để sử dụng một cái và xác thực thành công trong bước xác minh 2FA—bạn phải nhấn nút trên phím vào đúng thời điểm. Trừ khi kẻ tấn công chạm tay vào khóa bảo mật của bạn, họ không thể sử dụng nó.

Vậy làm thế nào để phương pháp 2FA này có thể bị xâm phạm? Một dạng 2FA yếu hơn. Một số dịch vụ cho phép xác minh các thiết bị mới từ một thiết bị đã được ủy quyền. Vì vậy, có thể lần đầu tiên bạn đăng nhập và sử dụng Yubikey của mình để làm như vậy, nhưng bây giờ bạn giải quyết các yêu cầu tiếp theo bằng cách sử dụng thiết bị hiện có của mình để xác thực.

Sau đó, tin tặc có thể khởi động một cuộc tấn công spam phê duyệt, giống như đã nêu ở trên.

Làm thế nào để tránh: Vô hiệu hóa phương thức đăng nhập này cho tài khoản của bạn. Chỉ gắn bó với khóa bảo mật như là phương pháp xác thực 2FA.