Cách những kẻ lừa đảo trên mạng xã hội câu giờ để đánh cắp mã 2FA của bạn

Lừa đảo lừa đảo cố lừa bạn đặt mật khẩu thực của bạn vào một trang web giả mạo đã tồn tại hàng thập kỷ.

Như những người đọc Naked Security thông thường sẽ biết, các biện pháp phòng ngừa như sử dụng trình quản lý mật khẩu và bật xác thực hai yếu tố (2FA) có thể giúp bảo vệ bạn khỏi rủi ro lừa đảo, bởi vì:

• Trình quản lý mật khẩu liên kết tên người dùng và mật khẩu với các trang web cụ thể. Điều này khiến những người quản lý mật khẩu khó có thể nhầm lẫn đưa bạn vào các trang web không có thật, bởi vì họ không thể tự động nhập bất cứ thứ gì cho bạn nếu họ phải đối mặt với một trang web mà họ chưa từng thấy trước đây. Ngay cả khi trang web giả mạo là một bản sao hoàn hảo đến từng pixel của trang gốc, với tên máy chủ đủ gần để mắt người không thể phân biệt được, trình quản lý mật khẩu sẽ không bị lừa vì nó thường tìm kiếm URL, toàn bộ URL và không có gì ngoài URL.
• Khi bật 2FA, mật khẩu của bạn thường không đủ để đăng nhập. Các mã được sử dụng bởi các hệ thống 2FA thường chỉ hoạt động một lần, cho dù chúng được gửi đến điện thoại của bạn qua SMS, được tạo bởi ứng dụng dành cho thiết bị di động hay được tính toán bởi khóa phần cứng an toàn hoặc keyfob mà bạn mang riêng từ máy tính của mình. Chỉ biết (hoặc đánh cắp, mua hoặc đoán) mật khẩu của bạn thôi thì không còn đủ để tội phạm mạng “chứng minh” sai sự thật rằng chúng là bạn.

Thật không may, những biện pháp phòng ngừa này không thể giúp bạn miễn dịch hoàn toàn trước các cuộc tấn công lừa đảo và tội phạm mạng đang ngày càng giỏi hơn trong việc lừa người dùng vô tội giao cả mật khẩu và mã 2FA của họ cùng một lúc, như một phần của cùng một cuộc tấn công…

…tại thời điểm đó, kẻ lừa đảo ngay lập tức cố gắng sử dụng kết hợp tên người dùng + mật khẩu + mã dùng một lần mà chúng vừa lấy được, với hy vọng đăng nhập đủ nhanh để truy cập vào tài khoản của bạn trước khi bạn nhận ra có bất kỳ hành vi lừa đảo nào đang diễn ra.

Tệ hơn nữa, những kẻ lừa đảo thường nhắm đến việc tạo ra thứ mà chúng tôi gọi là “sự tháo gỡ nhẹ nhàng”, nghĩa là chúng tạo ra một kết luận trực quan đáng tin cậy cho hành trình lừa đảo của chúng.

Điều này thường làm cho có vẻ như hoạt động mà bạn vừa “phê duyệt” bằng cách nhập mật khẩu và mã 2FA (chẳng hạn như phản đối khiếu nại hoặc hủy đơn đặt hàng) đã hoàn thành chính xác và do đó, bạn không cần thực hiện thêm hành động nào.

Do đó, những kẻ tấn công không chỉ xâm nhập vào tài khoản của bạn mà còn khiến bạn cảm thấy không tin tưởng và không thể theo dõi để xem liệu tài khoản của bạn có thực sự bị chiếm đoạt hay không.

Con đường ngắn nhưng quanh co

Đây là một trò lừa đảo trên Facebook mà chúng tôi nhận được gần đây nhằm cố gắng dẫn bạn đến đúng con đường đó, với các mức độ đáng tin cậy khác nhau ở mỗi giai đoạn.

Những kẻ lừa đảo:

• Giả vờ rằng trang Facebook của chính bạn vi phạm các điều khoản sử dụng của Facebook. Những kẻ lừa đảo cảnh báo rằng điều này có thể khiến tài khoản của bạn bị đóng. Như bạn đã biết, cuộc cãi vã hiện đang nổ ra trên và xung quanh Twitter đã biến các vấn đề như xác minh tài khoản, đình chỉ và khôi phục trở thành những tranh cãi ồn ào. Do đó, người dùng mạng xã hội lo ngại về việc bảo vệ tài khoản của họ nói chung là điều dễ hiểu, cho dù họ có đặc biệt quan tâm đến Twitter hay không:
  

• Thu hút bạn đến một trang thực với một facebook.com URL. Tài khoản là giả mạo, được thiết lập hoàn toàn cho chiến dịch lừa đảo cụ thể này, nhưng liên kết hiển thị trong email bạn nhận được thực sự dẫn đến facebook.com, làm cho nó ít có khả năng thu hút sự nghi ngờ từ bạn hoặc từ bộ lọc thư rác của bạn. Những kẻ lừa đảo đã đặt tiêu đề cho trang của họ Sở hữu trí tuệ (khiếu nại về bản quyền ngày nay rất phổ biến) và đã sử dụng logo chính thức của Meta, công ty mẹ của Facebook, để tăng thêm tính hợp pháp:
  

  

• Cung cấp cho bạn một URL để liên hệ với Facebook để khiếu nại việc hủy bỏ. URL ở trên không kết thúc bằng facebook.com, nhưng nó bắt đầu bằng văn bản khiến nó trông giống như một liên kết được cá nhân hóa ở dạng facebook-help-nnnnnn, nơi những kẻ lừa đảo tuyên bố rằng các chữ số nnnnnn là một mã định danh duy nhất biểu thị trường hợp cụ thể của bạn:
  

  

• Thu thập phần lớn dữ liệu nghe có vẻ ngây thơ về sự hiện diện trên Facebook của bạn. Thậm chí còn có một trường tùy chọn cho Thông tin bổ sung nơi bạn được mời để tranh luận trường hợp của bạn. (Xem hình trên.)

Bây giờ hãy “chứng tỏ” bản thân

Tại thời điểm này, bạn cần cung cấp một số bằng chứng rằng bạn thực sự là chủ sở hữu của tài khoản, vì vậy những kẻ lừa đảo sẽ yêu cầu bạn:

• Xác thực bằng mật khẩu của bạn. Trang web bạn đang truy cập có văn bản facebook-help-nnnnnnn trong thanh địa chỉ; nó sử dụng HTTPS (HTTP an toàn, tức là có ổ khóa hiển thị); và việc xây dựng thương hiệu làm cho nó trông giống với các trang riêng của Facebook:
  

  

• Cung cấp mã 2FA đi kèm với mật khẩu của bạn. Hộp thoại ở đây rất giống với hộp thoại do chính Facebook sử dụng, với từ ngữ được sao chép trực tiếp từ giao diện người dùng của chính Facebook. Tại đây, bạn có thể thấy hộp thoại giả mạo (trên cùng) và hộp thoại thật sẽ được hiển thị bởi chính Facebook (dưới cùng):
  

  

  

• Đợi tối đa năm phút với hy vọng rằng "chặn tài khoản" có thể tự động bị xóa. Những kẻ lừa đảo chơi cả hai đầu ở đây, bằng cách mời bạn rời đi một mình để không làm gián đoạn một giải pháp tức thời có thể có và gợi ý rằng bạn nên ở lại trong trường hợp có thêm thông tin được yêu cầu:

Như bạn có thể thấy, kết quả có thể xảy ra đối với bất kỳ ai bị cuốn vào trò lừa đảo này ngay từ đầu là họ sẽ cho những kẻ lừa đảo có đủ thời gian năm phút để những kẻ tấn công có thể thử đăng nhập vào tài khoản của họ và chiếm lấy nó.

JavaScript được sử dụng bởi bọn tội phạm trên trang web bẫy mìn của chúng thậm chí dường như chứa một thông báo có thể được kích hoạt nếu mật khẩu của nạn nhân hoạt động chính xác nhưng mã 2FA mà chúng cung cấp thì không:

   Mã đăng nhập bạn đã nhập không khớp với mã được gửi tới điện thoại của bạn. Vui lòng kiểm tra số và thử lại.

Phần cuối của trò lừa đảo có lẽ là phần ít thuyết phục nhất, tuy nhiên, nó vẫn tự động chuyển bạn khỏi trang web lừa đảo và đưa bạn trở lại một nơi nào đó hoàn toàn chính hãng, cụ thể là trang web chính thức của Facebook Trung tâm Trợ giúp:

Phải làm gì?

Ngay cả khi bạn không phải là người dùng mạng xã hội đặc biệt nghiêm túc và ngay cả khi bạn hoạt động dưới một bút danh không liên kết rõ ràng và công khai với danh tính ngoài đời thực của bạn, tài khoản trực tuyến của bạn vẫn có giá trị đối với tội phạm mạng vì ba lý do chính:

• Toàn quyền truy cập vào các tài khoản truyền thông xã hội của bạn có thể cung cấp cho kẻ gian quyền truy cập vào các khía cạnh riêng tư trong hồ sơ của bạn. Cho dù họ bán thông tin này trên dark web hay tự lạm dụng thông tin đó, thì việc thỏa hiệp thông tin này có thể làm tăng nguy cơ bạn bị đánh cắp danh tính.
• Khả năng đăng bài qua tài khoản của bạn cho phép kẻ lừa đảo rao bán thông tin sai lệch và tin tức giả mạo dưới tên tốt của bạn. Cuối cùng, bạn có thể bị loại khỏi nền tảng, bị khóa tài khoản hoặc gặp rắc rối công khai, trừ khi và cho đến khi bạn chứng minh được rằng tài khoản của mình đã bị đột nhập.
• Truy cập vào danh bạ đã chọn của bạn có nghĩa là kẻ lừa đảo có thể nhắm mục tiêu tích cực vào bạn bè và gia đình của bạn. Những người liên hệ của bạn không chỉ có nhiều khả năng nhìn thấy các tin nhắn đến từ tài khoản của bạn hơn mà còn có nhiều khả năng xem xét chúng một cách nghiêm túc hơn.

Nói một cách đơn giản, bằng cách cho phép tội phạm mạng xâm nhập vào tài khoản mạng xã hội của bạn, cuối cùng, bạn không chỉ đặt bản thân mà còn cả bạn bè và gia đình của mình và thậm chí cả những người khác trên nền tảng vào tình thế nguy hiểm.

Phải làm gì?

Dưới đây là ba mẹo chữa cháy nhanh:

• MẸO 1. Ghi lại các trang chính thức “mở khóa tài khoản của bạn” và “cách đối phó với các thách thức về sở hữu trí tuệ” của các mạng xã hội bạn sử dụng. Bằng cách đó, bạn không bao giờ cần phải dựa vào các liên kết được gửi qua email để tìm đường đến đó trong tương lai. Các thủ thuật phổ biến được sử dụng bởi những kẻ tấn công bao gồm vi phạm bản quyền được dàn dựng; vi phạm các Điều khoản và Điều kiện (như trong trường hợp này); tuyên bố không có thật về thông tin đăng nhập gian lận mà bạn cần xem xét; và các “vấn đề” giả mạo khác với tài khoản của bạn. Những kẻ lừa đảo thường bao gồm một số áp lực về thời gian, như trong giới hạn 24 giờ được tuyên bố trong trò lừa đảo này, như một sự khuyến khích hơn nữa để tiết kiệm thời gian bằng cách nhấp qua.
• MẸO 2. Đừng để bị lừa bởi thực tế là các liên kết “bấm để liên hệ” được lưu trữ trên các trang web hợp pháp. Trong trò lừa đảo này, trang liên hệ ban đầu do Facebook lưu trữ, nhưng đó là một tài khoản lừa đảo và các trang lừa đảo được lưu trữ, hoàn chỉnh với chứng chỉ HTTPS hợp lệ, thông qua Google, nhưng nội dung được cung cấp là không có thật. Ngày nay, công ty lưu trữ nội dung hiếm khi giống với các cá nhân tạo và đăng nội dung đó.
• MẸO 3. Nếu nghi ngờ, đừng đưa ra. Đừng bao giờ cảm thấy áp lực phải chấp nhận rủi ro để hoàn thành một giao dịch nhanh chóng bởi vì bạn sợ kết quả nếu bạn dành thời gian để dừng lại, Để nghĩ, và chỉ sau đó để kết nối. Nếu bạn không chắc chắn, hãy hỏi một người mà bạn biết và tin tưởng trong cuộc sống thực để được tư vấn, để cuối cùng bạn không tin tưởng người gửi chính tin nhắn mà bạn không chắc mình có thể tin tưởng. (Và xem MẸO 1 ở trên.)

Hãy nhớ rằng, với Thứ Sáu Đen và Thứ Hai Điện Tử sắp diễn ra vào cuối tuần này, bạn có thể sẽ nhận được rất nhiều ưu đãi chính hãng, nhiều ưu đãi lừa đảo và bất kỳ cảnh báo có ý tốt nào về cách cải thiện an ninh mạng của bạn cụ thể cho thời điểm này trong năm…

…nhưng xin lưu ý rằng an ninh mạng là điều cần được thực hiện nghiêm túc quanh năm: bắt đầu ngày hôm qua, làm điều đó ngày hôm nay, và tiếp tục nó vào ngày mai!

---