Cách hack xác thực hai bước của Gmail

Chúng ta vẫn thường dùng phương pháp xác thực hai bước (hay phương pháp xác thực hai yếu tố) để bảo đảm an toàn cho các tài khoản trực tuyến của mình. Nhất là với ứng dụng quen thuộc như Gmail, phương thức này giúp người dùng cảm thấy an toàn hơn. Đây là hình thức xác thực mà bạn dùng mật khẩu để đăng nhập và một đoạn mã riêng (thường được gửi qua tin nhắn điện thoại hoặc ứng dụng như Google Authenticator). Dù hơi mất thời gian so với bình thường nhưng hầu hết đều cảm thấy tự tin hơn vì được bảo mật hơn.

Nhưng bạn có biết rằng hacker vẫn có thể lừa thành công người dùng đã sử dụng phương pháp xác thực 2 bước? Dưới đây là cách mà anh ta đã thực hiện.

Dùng tên miền hơi giống thật

Hacker không thể có quyền truy cập từ bên trong máy chủ nên bước đầu tiên sau khi họ chọn mục tiêu tấn công là làm giả một địa chỉ email của đồng nghiệp trông có vẻ đáng tín cậy. Nếu email người dùng là phia@gimletmedia.com thì mail mà kẻ lừa đảo dùng có thể là phia@gimletrnedia.com.

Bạn có nhìn ra sự khác biệt hay không? Nếu chỉ nhìn qua thì chắc sẽ không thấy nhưng từ “media” trong tên domain đã bị thay bằng “r-n-e-d-i-a”, trông rất giống tên domain thật. Tên domain này cũng hoàn toàn hợp lệ nên sẽ không bị đưa vào thư mục spam.

File đính kèm và văn bản trông có vẻ thuyết phục

Điều khó lường nhất là những email lừa đảo trông lại rất bình thường. Hầu như bạn có thể nhận ra một email mờ ám ngay bởi những kí tự kì lạ. Nhưng kiểu lừa đảo này sẽ giả vờ là nhà sản xuất gửi một đoạn file audio để chỉnh sửa hay yêu cầu chấp thuận… Cùng với tên domain trông rất thuyết phục thì hầu như là ai cũng tin.

Trang đăng nhập Gmail 2 bước giả

Một trong những tập tin đính kèm sẽ là file PDF trong Google Docs, hoặc trông giống như vậy. Khi nạn nhân click vào, nó sẽ chuyển tới trang cho họ đăng nhập Google Docs như bạn vẫn hay làm ngay cả khi đã đăng nhập Gmail rồi.

Sử dụng xác thực hai yếu tố không có nghĩa là bạn được an toàn

Kẻ lừa đảo sẽ tạo một trang đăng nhập giả và gửi yêu cầu xác thực hai bước thật tới máy chủ thật của Google, ngay cả khi trang đăng nhập đó là giả hoàn toàn. Nạn nhân vẫn sẽ nhận được tin nhắn như bình thường và dùng nó nhập vào trang login giả. Khi đó, kẻ lừa đảo sẽ có quyền truy cập tài khoản Gmail của nạn nhân.