Cơ chế xác thực hai yếu tố (2FA - Two-factor Authentication) từ lâu đã được nhiều người tin dùng nhờ tính bảo mật cao. Cơ chế này thêm một bước xác thực thứ hai bên cạnh việc sử dụng mật khẩu để đăng nhập, từ đó giảm thiểu khả năng bị các tin tặc tấn công tài khoản, đặc biệt hữu dụng khi sử dụng với các nền tảng mạng xã hội như Facebook, Instagram, Google...
Một trong những phương thức xác thực hai yếu tố phổ biến nhất hiện tại là sử dụng tin nhắn SMS để nhận mã xác thực được gửi về số điện thoại đăng ký tài khoản của người dùng. Nghe thì có vẻ an toàn bởi sẽ chẳng có ai ngoài bản thân người dùng có được số điện thoại chính chủ trong tay, thế nhưng theo nhiều chuyên gia bảo mật, tin nhắn SMS không phải là một phương thức bảo mật an toàn và nó hoàn toàn có thể bị khai thác và giả mạo.
Xác thực hai yếu tố bằng SMS
Bất chấp sự kém bảo mật của cơ chế SMS nhưng xác thực hai yếu tố bằng tin nhắn vẫn được sử dụng rộng rãi do tính đơn giản của phương thức này.
Cách tin tặc "hack" tin nhắn SMS
Về cơ bản, tin nhắn SMS dựa trên mạng viễn thông của các nhà mạng. Ban đầu, các hacker có nhiều cách để để xâm nhập vào hạ tầng mạng viễn thông của nhà mạng, tuy nhiên cách này đã bị coi là "lỗi thời" và không còn phù hợp. Thay vào đó, các tin tặc chuyển hướng sang khai thác người dùng.
Daniel Cid, nhà sáng lập của trang Sucuri Blog, cho biết không chỉ nhà mạng có hạ tầng bảo mật kém mà cả các nhà sản xuất điện thoại cũng vậy.
"Hộp thư thoại chỉ được bảo mật bởi mã PIN 4 số, và hầu hết nhà mạng đều cho phép người dùng truy cập hộp thư thoại từ xa.
Dễ dàng tấn công: Chỉ cần một vài thông tin cơ bản về nạn nhân là có thể reset mã PIN.
Dễ dàng bị giả mạo: Việc giả mạo tin nhắn SMS cực kỳ dễ. Tin nhắn SMS không có cơ chế bảo mật hay bất cứ chứng chỉ bảo mật nào để xác minh người gửi có an toàn hay không".
Google hiện cũng đã nỗ lực để tìm ra phương thức bảo mật an toàn cũng như cách để xác minh người gửi SMS. Nếu bạn quan tâm có thể tham khảo chi tiết nội dung được đăng tải bởi Google ở đường dẫn này.
Các tin tặc có thể kết hợp nhiều cách thức lừa đảo khác nhau để khai thác thông tin từ nạn nhân, ví dụ như gửi một tin nhắn giả mạo tới nạn nhân mà trông có vẻ như được gửi từ một người gửi uy tín. Cách thức này hiện đang cực kỳ phổ biến tại Việt Nam do việc quản lý SMS Brandname (tin nhắn thương hiệu) chưa thực sự hiệu quả, cho phép các tin tặc có thể đăng ký Brandname bất kỳ, đa số là tên ngân hàng, ví dụ như "ACB", "Vietcombank", "VietinBank"...
Một ngân hàng tại Việt Nam bị giả mạo bằng cách thức đăng ký SMS Brandname giống hệt
Trong nhiều trường hợp, các tin tặc sẽ lừa người dùng thiếu cảnh giác để tự điền các thông tin cá nhân vào một trang web lừa đảo (phishing) với giao diện giống thật, sau đó một mã xác thực SMS được gửi tới số điện thoại của nạn nhân và yêu cầu người dùng điền mã xác thực vào trang web này.
Đó mới chỉ là một vài cách phổ biến đánh trúng sự thiếu hiểu biết của các nạn nhân. Với một vài tin tặc, kỹ thuật yếu tố con người (social engineering) được sử dụng trong nhiều trường hợp nhằm chiếm đoạt các thông tin cá nhân. Một trong những cách dễ dàng nhất là hoán đổi thông thẻ SIM.
Với cách này, tin tặc sẽ thu thập thông tin về nạn nhân càng nhiều càng tốt, có thể là tên, ngày sinh, địa chỉ, số căn cước... Sau đó giả danh nạn nhân, sử dụng một chiếc điện thoại và thẻ SIM mới sau đó yêu cầu nhà mạng kích hoạt số điện thoại trên thẻ SIM đó. Nếu "trót lọt", số điện thoại sẽ được chuyển sang thẻ SIM mới của tin tặc, từ đó cho phép tin tặc toàn quyền kiểm soát các tài khoản có sử dụng số điện thoại đăng ký của nạn nhân. Phương thức này chủ yếu lợi dụng sự lỏng lẻo trong khâu xác minh người dùng của nhà mạng.
Phương thức "hoán đổi SIM" sử dụng kỹ thuật yếu tố con người
Quá trình này có vẻ phức tạp, tuy nhiên nó lại có tính hiệu quả cao một khi thành công. Trong quá khứ, Cloudflare đã từng bị "hack" bằng kỹ thuật này khi nhà mạng AT&T (nhà mạng cung cấp dịch vụ của Cloudflare) đã bị đánh lừa và chuyển hướng thư thoại, sau đó tin tặc có được quyền truy cập vào tài khoản email thông qua một mã xác thực 2FA được gửi vào hộp thư thoại.
Trong nhiều trường hợp, mã xác thực hai yếu tố còn có thể bị các ứng dụng có mã độc được cài đặt trong máy người dùng, đa số là Android, đọc được nếu chẳng may cấp quyền truy cập tin nhắn cho ứng dụng. Đây cũng là một trong những cách phổ biến được tin tặc sử dụng, bằng cách lừa người dùng cài đặt ứng dụng trái phép, sau đó hỏi quyền truy cập SMS. Nếu người dùng đồng ý, toàn bộ dữ liệu tin nhắn có trong máy đều có thể bị ứng dụng truy cập và gửi về một máy chủ nào đó.
Sử dụng các cơ chế xác thực 2FA thay thế
Tin nhắn SMS đã được chứng minh là phương thức xác thực kém bảo mật. Để tránh các vụ tấn công mạng nhắm vào người dùng cuối, dưới đây là các phương thức xác thực hai yếu tố thay thế cho SMS được các chuyên gia bảo mật khuyên dùng.
- Thiết bị xác thực hai yếu tố: Phương thức này phụ thuộc vào một thiết bị phần cứng vật lý có thể cho phép quyền truy cập vào tài khoản. Thiết bị này sẽ tạo ra một mã xác thực và người dùng cần phải điền mật khẩu và mã xác thực mới có thể truy cập vào tài khoản. Tất nhiên, phương thức này sẽ không hiệu quả nếu người dùng làm mất thiết bị.
- Ứng dụng xác thực hai yếu tố: Hiện tại có khá nhiều phần mềm cung cấp tính năng tạo mã xác thực. Giống với xác thực bằng phần cứng thì xác thực bằng ứng dụng cũng sẽ cung cấp một mã xác thực cho người dùng dùng để đăng nhập vào tài khoản. Một trong những ứng dụng phổ biến nhất là Google Authenticator.
- Xác thực dựa trên địa chỉ IP: Đây là cách được nhiều website sử dụng khi chỉ cho phép người dùng truy cập vào tài khoản với một địa chỉ IP tin cậy. Phương thức này hạn chế tối đa khả năng xâm nhập tài khoản từ người lạ.