'Cú sốc' an ninh mạng: Bật xác thực 2 bước vẫn bị hack

Trong thế giới số, lời khuyên 'vàng' luôn là thiết lập thêm một lớp bảo mật phụ. Ý tưởng của xác thực đa yếu tố (MFA) là buộc kẻ xấu phải vượt qua bước xác minh thứ hai (như mã SMS, email, sinh trắc học hoặc khóa vật lý) ngay cả khi chúng đã có mật khẩu của bạn. Các nghiên cứu từng chỉ ra rằng xác thực 2 bước có thể giảm tới 99% nguy cơ bị xâm nhập tài khoản.

Nhưng con số đó không còn là tuyệt đối, khi hàng loạt vụ tấn công gần đây cho thấy MFA không phải là giải pháp không thể sai lầm.

• Xác thực 2 bước đã không còn an toàn trước kẻ gian

ẢNH: CHỤP MÀN HÌNH IMORE

Sự trỗi dậy của 'bóng ma' Evilginx

Trong tháng 12 này, các chuyên gia bảo mật tại Infoblox đã phát đi cảnh báo về việc các hacker đang nhắm mục tiêu vào cổng đăng nhập của các tổ chức giáo dục. Vũ khí của chúng là một công cụ mã nguồn mở nguy hiểm có tên Evilginx.

Evilginx hoạt động dựa trên cơ chế tấn công 'người đứng giữa' (Man-in-the-Middle - MITM). Thay vì chỉ trộm mật khẩu, nó chặn đứng giao tiếp giữa thiết bị của người dùng và dịch vụ họ muốn truy cập.

Điều đáng sợ nhất là Evilginx cho phép kẻ gian đánh cắp Session Cookie (cookie phiên làm việc). Khi người dùng đăng nhập và nhập mã MFA hợp lệ vào trang giả mạo, chúng sẽ bắt được cookie này. Sau khi có được cookie, chúng hoàn toàn đủ điều kiện để mạo danh nạn nhân đăng nhập thẳng vào hệ thống thật mà không cần nhập lại mã xác thực lần hai.

Chỉ riêng năm 2025, 18 tổ chức đã trở thành nạn nhân. Trước đó, công cụ này đã được dùng để tấn công người dùng Gmail, Outlook và thậm chí cả các ông lớn như Tesla.

Những chiêu trò khác để vượt qua xác thực 2 bước

Không chỉ có Evilginx, bức tường MFA còn đang bị 'đục khoét' bởi những phương thức tấn công khác:

• Social Engineering: Hacker giả danh dịch vụ uy tín, lừa người dùng tự tay cung cấp mã đăng nhập.
• SIM Swapping (hoán đổi SIM): Kẻ xấu chiếm quyền kiểm soát số điện thoại để nhận mã OTP qua SMS. Đây là lý do xác thực qua tin nhắn SMS ngày càng kém an toàn.
• Thiết bị Skimmer: Đánh cắp vân tay trên các máy yêu cầu xác thực sinh trắc học để thanh toán.

Giải pháp nào cho kỷ nguyên 'hậu MFA'?

Làm sao để an toàn khi lớp kẽm gai MFA đã bị đục khoét thành công? Theo các chuyên gia từ Experian và Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng (CISA) của Mỹ, giải pháp duy nhất có khả năng chống lại lừa đảo hiện nay là chuẩn FIDO/WebAuthn.

ẢNH: CHỤP MÀN HÌNH WIRED

Người dùng được khuyến nghị chuyển sang sử dụng khóa bảo mật vật lý như Google Titan hoặc Yubico. Nếu không muốn dùng khóa vật lý, Passkey là giải pháp thay thế hoàn hảo dựa trên chuẩn WebAuthn. Hiện tại, Google, Microsoft và Apple đều đã tích hợp Passkey, giúp việc chuyển đổi trở nên dễ dàng và an toàn hơn bao giờ hết.