Cảnh giác với hình thức đánh cắp mã OTP bằng cuộc gọi tự động

OTP (mật khẩu dùng một lần) là hình thức bảo mật phổ biến, dùng trong xác thực hai yếu tố cho các tài khoản trực tuyến. Mã này thường được gửi qua tin nhắn văn bản, email hoặc ứng dụng, nhằm đảm bảo đúng người dùng, tránh việc bị đánh cắp tài khoản ngay cả khi đã lộ tên đăng nhập và mật khẩu. Tuy nhiên với hình thức bot OTP mới, người dùng có thể vô tình cung cấp mã cho kẻ gian qua các cuộc gọi lừa đảo, mạo danh, từ đó bị xâm nhập tài khoản và chiếm đoạt dữ liệu.

Minh họa cơ chế hoạt động của bot OTP thông qua cuộc gọi (Nguồn ảnh: Vnexpress)

Theo tổ chức bảo mật Kaspersky, trong khoảng thời gian từ ngày 1/3 đến ngày 31/5/2024, đơn vị này đã ngăn chặn 653.088 lượt truy cập vào các trang web được tạo ra bởi bộ công cụ phishing (lừa đảo) nhắm vào các ngân hàng. Cũng trong khoảng thời gian đó, Kaspersky phát hiện 4.721 trang web lừa đảo do các bộ công cụ tạo ra nhằm mục đích vượt qua biện pháp xác thực 2 yếu tố.

Cách thức đánh cắp mã OTP

Trước khi thực hiện đánh cắp mã OTP, kẻ gian cần vượt qua lớp đăng nhập đầu tiên là tên đăng nhập và mật khẩu. Để làm được điều này, chúng thường tạo các trang web lừa đảo được thiết kế giao diện giống với các trang đăng nhập hợp pháp để lừa nạn nhân nhập thông tin. Ngoài ra, dữ liệu này còn có thể mua được từ chợ đen (dark web) hoặc đánh cắp trực tiếp thông qua lỗ hổng bảo mật của hệ thống, ứng dụng thông qua các kỹ thuật tấn công mạng.

Sau khi đã có được thông tin đăng nhập và mật khẩu của trang web hoặc ứng dụng cần thiết, kẻ gian sử dụng bot xây dựng kịch bản hội thoại đã lập trình sẵn để mạo danh tổ chức, sử dụng đa ngôn ngữ, tùy biến tông giọng để tự động gọi điện đến người dùng. Giọng điệu của những kẻ thực hiện cuộc gọi này có thể nhẹ nhàng để thuyết phục hoặc hối thúc, khẩn trương để nạn nhân nhanh chóng sập bẫy, cung cấp mã OTP.

Có được mã OTP (mã OTP thường có hiệu lực từ 3 đến 5 phút), kẻ gian hoàn toàn có thể tận dụng khoảng thời gian này để đánh cắp thông tin và tài sản của bạn, nguy hiểm hơn nếu đó là thông tin quản trị của doanh nghiệp.

Cách phòng tránh

Để không trở thành nạn nhân, người dùng cần tránh nhấp vào các đường link đáng ngờ được gửi đến qua email, tin nhắn. Khi truy cập thông tin trên môi trường mạng, nên sử dụng dấu trang để lưu lại các trang web truy cập thường xuyên, tránh bị gõ nhầm, tìm kiếm nhầm và bị dẫn dụ vào các trang web giả mạo.

Người dùng cần cảnh giác và không cung cấp mã OTP dưới bất kỳ hình thức nào bởi các tổ chức uy tín không bao giờ yêu cầu người dùng đọc hoặc nhập mã OTP qua điện thoại để xác minh danh tính.

Đổi mật khẩu định kỳ, đặt mật khẩu phức tạp, đảm bảo cấu trúc và độ mạnh của mật khẩu tăng lên, giảm thiểu nguy cơ bị dò quét.

Với những thông tin vừa cung cấp, hy vọng người dùng có thể nhận dạng được hình thức tấn công đang phổ biến trên và chủ động phòng ngừa, đảm bảo an toàn thông tin.

Nguồn:Theo EVNCPC Sao chép liên kết

Thứ ba,18/06/2024

Sử dụng điện mặt trời mái nhà cần những lưu ý gì?

Hiện nay nguồn cung năng lượng trên thế giới nói chung và tại Việt Nam nói riêng dành cho sản xuất điện đang tăng rất cao. Vì vậy, việc sử dụng điện ...