Tất cả thông tin người dùng được bảo mật theo lao lý của pháp lý Nước Ta. Khi bạn đăng nhập, bạn chấp thuận đồng ý với Các lao lý sử dụng và Thoả thuận về phân phối và sử dụng Mạng Xã Hội .Hãy đăng nhập để comment, theo dõi những hồ sơ cá thể và sử dụng dịch vụ nâng cao khác trên trang Tin Công Nghệ của Thế Giới Di ĐộngBạn vui mắt chờ trong giây lát …

Bảo mật 2 lớp chưa hẳn đã an toàn với thủ đoạn mới này của hacker

Theo trang công nghệ PCmag tiết lộ, các hacker không chỉ lừa lấy được các mã xác thực hai lớp của Google và Yahoo qua tin nhắn SMS, mà ngay cả các ứng dụng xác thực như Google Authenticator cũng bị ảnh hưởng.

Bảo mật tài khoản của bạn bằng xác thực hai lớp được xem như cách làm hiệu quả để chống đỡ các hacker. Nhưng hệ thống này không hoàn hảo như chúng ta nghĩ. Theo tổ chức Ân xá Quốc tế, một nhóm hacker bí ẩn đã qua mặt được cách bảo mật tài khoản này và đánh lừa khoảng 1.000 người.

Theo công bố, cuộc tiến công này được triển khai trải qua việc sử dụng email và những trang đăng nhập ( trá hình ). Và nó được nhắm tới những phóng viên báo chí cũng như những nhà hoạt động giải trí ở khu vực Trung Đông và Bắc Phi .Được biết, thủ đoạn của cuộc tiến công này nhằm mục đích đánh lừa nạn nhân trao quyền truy vấn thông tin tài khoản Google và Yahoo cho những hacker, trải qua việc lừa lấy được không chỉ thông tin đăng nhập vào thông tin tài khoản mà còn cả đoạn mã passcode dùng cho xác nhận hai lớp .

Cách thức qua mặt hệ thống xác thực 2 lớp gửi mã qua SMS

Đối với những người chưa biết, chính sách xác nhận hai lớp hoạt động giải trí như sau : Bên cạnh những thông tin đăng nhập, người dùng sẽ phải nhập vào đoạn passcode dùng một lần gửi qua điện thoại cảm ứng của mình .Theo tổ chức triển khai Ân xá Quốc tế, nhóm hacker mà họ đang theo dõi khởi đầu cuộc tiến công bằng cách gửi những cảnh báo nhắc nhở trá hình giống như chúng tới từ Google hay Yahoo, điều này khiến chúng dễ thuyết phục được nạn nhân hơn .Các cảnh báo nhắc nhở sẽ công bố rằng thông tin tài khoản của nạn nhân đã bị xâm nhập và cung ứng một đường link tới một trang đăng nhập trông giống như thật, để reset lại mật khẩu .” Với phần nhiều người dùng, lời nhắc từ Google nhu yếu đổi mật khẩu có vẻ như là một nguyên do chính đáng để công ty liên lạc với bạn. ” Nhưng trên trong thực tiễn, trang đăng nhập là giả .Để tìm hiểu sâu hơn vào phương pháp thực thi cuộc tiến công của nhóm hacker này, tổ chức triển khai Ân xá Quốc tế đã tạo ra một thông tin tài khoản Google thử nghiệm và click vào đường link trên email lừa đảo của hacker .Như thủ đoạn lừa đảo thường thấy, trang Gmail giả này sẽ nhu yếu nạn nhân đăng nhập vào thông tin tài khoản của họ. Sau khi nạn nhân nhập vào mật khẩu thông tin tài khoản, mạng lưới hệ thống tự động hóa của hacker sẽ điều hướng nạn nhân tới một website khác ( trông y hệt như hàng ” chính chủ ” ), thông tin với họ rằng, chúng sẽ gửi mã xác nhận hai lớp qua SMS tới số điện thoại thông minh mà họ đã ĐK cho thông tin tài khoản của mình .Khi người dùng nhận được mã xác nhận hai lớp hợp lệ và nhập vào website trá hình khi có nhu yếu, sever của hacker sẽ tự động hóa chuyển tiếp mã xác nhận đó đến website dịch vụ thực để đăng nhập, tổng thể đều diễn ra với vận tốc như người dùng thường thì .Công cụ của hacker còn tự động hóa tạo ra một App Password ( một mật khẩu riêng không liên quan gì đến nhau được cho phép những ứng dụng bên thứ ba truy vấn vào thông tin tài khoản email ), thế cho nên những hacker hoàn toàn có thể duy trì đăng nhập vào thông tin tài khoản của người dùng mà không phải làm lại những thao tác này từ đầu .

Không chỉ các mã passcode gửi qua SMS

Theo Claudio Guarnieri, kỹ sư công nghệ của Tổ chức Ân xá Quốc tế, không chỉ với các mã xác thực hai lớp được gửi qua SMS, cách tiếp cận này cũng có thể được sử dụng để lừa lấy mã từ các ứng dụng xác thực hai lớp ví dụ như Google Authenticator.

Bên cạnh đó, báo cáo giải trình cũng phát hiện ra một trường hợp khác, mạng lưới hệ thống của hacker tự động hóa giành lấy một thông tin tài khoản Yahoo và sau đó chuyển nó sang Gmail, bằng cách sử dụng một dịch vụ di dời tài liệu hợp lệ có tên ShuttleCloud .Công cụ này ” được cho phép những kẻ tiến công tự động hóa tạo ra ngay lập tức một bản sao thông tin tài khoản Yahoo của nạn nhân trong thông tin tài khoản Gmail dưới quyền trấn áp của chúng. “Tuy vậy, báo cáo giải trình của tổ chức triển khai Ân xá Quốc tế cũng đề cập đến một sự thay thế sửa chữa hoàn toàn có thể cho những mã xác nhận hai lớp, đó là những khóa phần cứng chứa token bảo mật. Chúng hoạt động giải trí tương tự như như một giải pháp xác nhận hai lớp, nhưng bằng cách cắm khóa này vào trong máy tính của bạn để đăng nhập vào thông tin tài khoản cần bảo vệ .Với thiết bị này, kẻ tiến công cần phải tìm cách tiếp cận và ăn trộm chiếc khóa đó của bạn mới hoàn toàn có thể truy vấn vào thông tin tài khoản của bạn. Điển hình của loại thiết bị này là những Yubikey do hãng Yubico cung ứng. Ngoài ra Google cũng có khóa phần cứng token của riêng mình trong chương trình Advanced Protection Program .Nguồn : PCmagXem thêm : Có thể bạn chưa biết : Quy trình kiểm tra 1 chiếc smartphone trước khi đưa ra thị trường !

Biên tập bởi Tech Funny

Không hài lòng bài viết

5.031 lượt xem

Hãy để lại thông tin để được tương hỗ khi thiết yếu ( Không bắt buộc ) :

Anh
Chị

Source: https://vh2.com.vn
Category: Bảo Mật