Nhiều trang web đã chuyển từ mật khẩu truyền thống sang yêu cầu người dùng nhập địa chỉ email và sau đó cung cấp mã 6 chữ số được gửi qua email hoặc SMS để đăng nhập. Mặc dù cách tiếp cận này loại bỏ nhu cầu ghi nhớ mật khẩu, các chuyên gia bảo mật đang lo ngại về một loại tấn công phishing nguy hiểm mới mà phương pháp này tạo ra.
Mô Hình Tấn Công Phishing
Lỗ hổng nằm ở việc kзлоумышленники có thể dễ dàng lừa người dùng cung cấp mã đăng nhập hợp lệ. Đây là cách thức tấn công hoạt động: một trang web độc hại nhắc người dùng đăng ký hoặc đăng nhập bằng địa chỉ email của họ. Trang web giả mạo sau đó thông báo với người dùng rằng họ sẽ nhận được mã xác minh từ một dịch vụ đáng tin cậy, tuyên bố đó là đối tác đăng nhập. Ở hậu trường, hệ thống của kẻ tấn công tự động kích hoạt một lần thử đăng nhập thực sự trên dịch vụ hợp pháp bằng địa chỉ email của nạn nhân.
Khi dịch vụ đáng tin cậy gửi mã đăng nhập thật đến email của người dùng, nạn nhân thấy một tin nhắn xác thực từ một công ty mà họ nhận biết và tin tưởng. Sau đó họ nhập mã thật này vào trang web giả mạo, vô tình cung cấp cho kẻ tấn công quyền truy cập vào tài khoản thực của họ trên dịch vụ hợp pháp. Cuộc tấn công này đã được sử dụng thành công chống lại hệ thống đăng nhập của Microsoft Minecraft, dẫn đến việc đánh cắp tài khoản.
Đây là lý do tại sao 'gửi cho tôi mã một lần qua email' là một trong những luồng xác thực tệ nhất đối với phishing. Thật khó để ngăn chặn người dùng mắc phải sai lầm này.
Các bước tấn công lừa đảo mã email:
- Người dùng truy cập trang web độc hại và nhập địa chỉ email
- Trang web giả mạo tuyên bố sử dụng dịch vụ đáng tin cậy làm "đối tác đăng nhập"
- Hệ thống của kẻ tấn công kích hoạt lần đăng nhập thực tế trên dịch vụ hợp pháp
- Dịch vụ hợp pháp gửi mã thật đến email của người dùng
- Người dùng nhập mã thật vào trang web giả mạo
- Kẻ tấn công có được quyền truy cập vào tài khoản hợp pháp của người dùng
Tại Sao Các Biện Pháp Phòng Thủ Truyền Thống Thất Bại
Trình quản lý mật khẩu, vốn đã trở thành biện pháp phòng thủ chính chống lại các cuộc tấn công phishing, không cung cấp bảo vệ nào trong tình huống này. Các công cụ này hoạt động bằng cách nhận biết các trang web hợp pháp và chỉ điền thông tin đăng nhập trên các tên miền chính xác. Tuy nhiên, với mã qua email, không có thông tin đăng nhập được lưu trữ để bảo vệ - người dùng tự tay nhập mã có vẻ như đến từ các nguồn đáng tin cậy.
Vấn đề cơ bản là người dùng nhận được mã thật từ các dịch vụ hợp pháp, khiến việc phân biệt giữa các lần thử đăng nhập thật và độc hại trở nên gần như không thể. Ngay cả những người dùng có ý thức bảo mật thường dựa vào trình quản lý mật khẩu cũng có thể trở thành nạn nhân của loại tấn công này.
Mối Quan Ngại Về Xác Thực Một Yếu Tố
Các cuộc thảo luận trong cộng đồng công nghệ tiết lộ một vấn đề quan trọng khác: nhiều dịch vụ sử dụng mã email hoặc SMS về cơ bản đang triển khai xác thực một yếu tố, không phải bảo mật đa yếu tố như họ tuyên bố. Vì cả việc truy cập email và nhận SMS đều thuộc cùng một danh mục bảo mật - thứ bạn có - việc sử dụng một trong hai cách này một mình không cung cấp sự bảo vệ nhiều lớp mà xác thực đa yếu tố thực sự mang lại.
Cách tiếp cận này đặc biệt có vấn đề vì nó loại bỏ các lợi ích bảo mật của mật khẩu truyền thống trong khi giới thiệu các lỗ hổng mới. Người dùng mất đi sự bảo vệ mà trình quản lý mật khẩu cung cấp chống lại phishing, trong khi có được ít bảo mật bổ sung hơn để đổi lại.
Các Loại Yếu Tố Xác Thực:
- Thứ bạn có: Các vật thể vật lý như điện thoại, token bảo mật, quyền truy cập email
- Thứ bạn biết: Mật khẩu, mã PIN, thông tin cá nhân
- Thứ bạn là: Sinh trắc học như dấu vân tay, mẫu giọng nói
Lưu ý: Cả mã email và SMS đều thuộc loại "thứ bạn có", khiến chúng trở thành xác thực đơn yếu tố mặc dù có vẻ an toàn hơn
Hướng Tới Các Giải Pháp Tốt Hơn
Các chuyên gia bảo mật trong cộng đồng đang ủng hộ passkeys như một giải pháp thay thế an toàn hơn. Không giống như mã email, passkeys sử dụng xác thực mật mã không thể bị chặn hoặc tái sử dụng bởi kẻ tấn công. Tuy nhiên, công nghệ này vẫn đối mặt với các thách thức về việc áp dụng, đặc biệt là xung quanh các quy trình sao lưu và khôi phục.
Một số nhà phát triển đã thử nghiệm với các cách tiếp cận được sửa đổi, chẳng hạn như gửi liên kết thay vì mã, điều hướng người dùng đến dịch vụ hợp pháp thay vì cho phép nhập mã trên các trang có thể độc hại. Mặc dù điều này cung cấp một số bảo vệ bổ sung, nó không hoàn toàn giải quyết các vấn đề bảo mật cơ bản.
Cuộc tranh luận làm nổi bật một thách thức rộng lớn hơn trong bảo mật trực tuyến: cân bằng sự tiện lợi của người dùng với việc bảo vệ chống lại các cuộc tấn công ngày càng tinh vi. Khi các dịch vụ tiếp tục chuyển từ mật khẩu truyền thống, việc tìm ra các phương pháp xác thực vừa thân thiện với người dùng vừa an toàn vẫn là một thách thức đang diễn ra.
Tham khảo: We replaced passwords with something worse