|
| Bảo mật 2 lớp qua SMS không còn là một sự lựa chọn bảo mật an toàn cho người dùng (Ảnh: The Conversation) |
Ngày nay, việc đăng nhập vào một dịch vụ thông qua tài khoản và mật khẩu không còn là một giải pháp an toàn nữa. Một nghiên cứu gần đây chỉ ra rằng hơn 80% các vụ hack đều xảy ra do mật khẩu đăng nhập của người dùng quá yếu. Theo thống kê, trong năm 2016 đã có tới 3 tỷ tài khoản người dùng các loại bị đánh cắp.
Do đó, việc triển khai Xác thực bảo mật hai lớp (2FA) đã trở thành một điều thiết yếu. Nói chung, 2FA nhằm mục đích cung cấp một lớp bảo mật bổ sung cho hệ thống tài khoản của người dùng. Phương pháp này đã thực sự hiệu quả. Các số liệu thống kê cho thấy những người dùng đã bật 2FA đã chặn được khoảng 99.9% các vụ hack tài khoản.
Nhưng cũng giống như với bất kỳ giải pháp an ninh mạng nào, những hacker có thể nhanh chóng tìm ra những lỗ hổng để "vượt qua" các lớp bảo mật. Những tên tin tặc này có thể loại bỏ 2FA thông qua mã code một lần được gửi dưới dạng SMS tới điện thoại thông minh của người dùng.
Tuy nhiên, nhiều dịch vụ trực tuyến quan trọng ở Úc vẫn đang sử dụng đoạn mã code một lần gửi qua SMS, bao gồm myGov và các ngân hàng thuộc top 4 của nước này như: ANZ, Commonwealth Bank, NAB và Westpac.
Vậy vấn đề với SMS nằm ở đâu?
Các nhà cung cấp lớn như Microsoft đã kêu gọi người dùng từ bỏ các giải pháp 2FA thông qua SMS và cuộc gọi thoại. Lý do là bởi từ trước đến nay SMS chưa bao giờ được đánh giá cao về tính bảo mật, khiến nó dễ dàng bị các tin tặc tấn công.
Ví dụ, hoán đổi SIM đã được chứng minh là một cách có thể phá vỡ hệ thống bảo mật 2FA. Các tin tặc sẽ cố gắng thuyết phục nhà cung cấp dịch vụ di động mà các nạn nhân sử dụng, sau đó yêu cầu chuyển số điện thoại của nạn nhân sang một thiết bị mà chúng chọn.
Mã code sử dụng một lần thông qua SMS cũng được chứng minh là có thể bị hack thông qua các công cụ sẵn có như Modlishka bằng cách tận dụng một kỹ thuật được gọi là proxy ngược. Điều này tạo điều kiện giao tiếp giữa nạn nhân và một dịch vụ mạo danh.
Vì vậy, trong trường hợp của Modlishka, nó sẽ chặn giao tiếp giữa một dịch vụ chính hãng và nạn nhân và sẽ theo dõi và ghi lại các tương tác của nạn nhân với dịch vụ, bao gồm mọi thông tin đăng nhập của người dùng.
 |
Do các dịch vụ đồng bộ hóa, nếu tin tặc xâm phạm thông tin đăng nhập Google của bạn trên thiết bị của chính họ, thì họ có thể cài đặt ứng dụng phản chiếu tin nhắn trực tiếp trên điện thoại thông minh của bạn (Ảnh: The Conversation) |
Có vô số cách để các hacker có thể tiếp cận được đoạn mã code SMS trên điện thoại của người dùng. Một số hacker đã lợi dụng tính năng có sẵn trên Google Play Store để tự động cài đặt các ứng dụng từ web vào thiết bị Android của người dùng.
Nếu hacker có quyền truy cập vào thông tin đăng nhập của bạn và quản lý để đăng nhập vào tài khoản Google Play của bạn trên máy tính xách tay, thì các hacker có thể tự động cài đặt bất kỳ ứng dụng nào mà chúng muốn trên chiếc điện thoại thông minh của bạn.
Các cuộc tấn công nhắm vào thiết bị Android
Một thử nghiệm của trang The Conversation cho thấy các hacker có thể truy cập từ xa vào lớp bảo mật 2FA dựa trên SMS của người dùng mà không tốn quá nhiều công sức, thông qua việc sử dụng một ứng dụng phổ biến (tên của ứng dụng này không được tiết lộ vì lý do bảo mật) được thiết kế để đồng bộ hóa thông báo của người dùng trên các thiết bị khác nhau.
Cụ thể, những kẻ tấn công có thể tận dụng tổ hợp email/mật khẩu bị xâm phạm được kết nối với tài khoản Google để cài đặt bất chính một ứng dụng "phản chiếu" tin nhắn có sẵn trên điện thoại thông minh của nạn nhân thông qua Google Play.
Đây là một trường hợp thực tế vì người dùng thường sử dụng cùng một thông tin đăng nhập trên nhiều dịch vụ khác nhau. Sử dụng trình quản lý mật khẩu là một cách hiệu quả để tài khoản của bạn trở nên an toàn hơn.
Sau khi ứng được cài đặt, hacker có thể áp dụng các kỹ thuật đơn giản để thuyết phục người dùng bật các quyền cần thiết để ứng dụng hoạt động bình thường.
Ví dụ: họ có thể giả vờ đang gọi từ một nhà cung cấp dịch vụ hợp pháp để thuyết phục người dùng bật các quyền truy cập. Sau đó, các hacker có thể nhận từ xa tất cả các liên lạc được gửi đến điện thoại của nạn nhân, bao gồm cả mã code một lần được sử dụng cho 2FA.
Mặc dù phải đáp ứng nhiều điều kiện để cuộc tấn công nói trên thành công, nhưng nó vẫn thể hiện bản chất mong manh của các phương pháp 2FA dựa trên SMS.
Quan trọng hơn, các cuộc tấn công dạng này không cần phải có các kỹ thuật hack cao siêu. Nó chỉ đơn giản là yêu cầu quyền truy cập của người dùng đối với các ứng dụng mà các hacker tự ý cài trên các thiết bị của nạn nhân.
Mối đe dọa thậm chí còn nguy hiểm hơn khi kẻ tấn công là một cá nhân đáng tin cậy (ví dụ: thành viên trong gia đình) có quyền truy cập vào điện thoại thông minh của nạn nhân.
Đâu là giải pháp thay thế?
Để bảo vệ các tài khoản trực tuyến của mình, việc đầu tiên bạn cần làm là xem các lớp bảo mật đầu tiên của bạn có thực sự mạnh và an toàn không. Trước tiên, hãy kiểm tra mật khẩu của bạn để xem nó có dễ bị hack không. Có một số chương trình bảo mật sẽ cho phép bạn làm điều này. Hãy đảm bảo rằng bạn đang sử dụng một mật khẩu đủ "khó" để người khác không dễ đoán được.
Bạn nên hạn chế sử dụng SMS như một phương pháp 2FA nếu bạn có thể. Thay vào đó, bạn có thể sử dụng mã một lần dựa trên ứng dụng, chẳng hạn như thông qua Google Authenticator. Trong trường hợp này, mã được tạo trong ứng dụng Google Authenticator trên chính thiết bị của bạn, thay vì được gửi cho bạn.
Tuy nhiên, cách tiếp cận này cũng có thể bị xâm nhập bởi hacker sử dụng một số phần mềm độc hại tinh vi. Một giải pháp thay thế tốt hơn là sử dụng các thiết bị phần cứng chuyên dụng như YubiKey.
 |
YubiKey, được phát triển lần đầu tiên vào năm 2008, là một thiết bị xác thực được thiết kế để hỗ trợ mật khẩu một lần và các giao thức 2FA mà không cần phải dựa trên 2FA dựa trên SMS (Ảnh: The Conversation) |
Đây là thiết bị USB nhỏ giúp kích hoạt 2FA trên các dịch vụ khác nhau. Các thiết bị vật lý như vậy cần được cắm vào hoặc mang đến gần thiết bị đăng nhập như một phần của 2FA, do đó giảm thiểu rủi ro liên quan đến mã code một lần, chẳng hạn như mã được gửi qua SMS.
Cần phải nhấn mạnh rằng một điều kiện cơ bản đối với bất kỳ giải pháp thay thế 2FA nào là bản thân người dùng cần phải có sự thận trọng nhất định. Đồng thời, các nhà cung cấp dịch vụ, nhà phát triển và nhà nghiên cứu phải thực hiện nhiều nghiên cứu hơn nữa để phát triển các phương pháp xác thực an toàn và dễ tiếp cận hơn.
Về cơ bản, các phương pháp này cần phải vượt ra ngoài 2FA và hướng tới môi trường xác thực đa yếu tố, nơi nhiều phương pháp xác thực được triển khai đồng thời và kết hợp khi cần thiết.
Theo The Conversation
