CẢNH BÁO: Tránh mất tiền oan trước chiêu trò đánh cắp mã OTP bằng cuộc gọi AI

Xác thực hai yếu tố (2FA) là tính năng bảo mật tiêu chuẩn trong an ninh mạng. Tính năng này yêu cầu người dùng xác minh danh tính bằng một bước xác thực thứ hai, thường là mật khẩu dùng một lần (OTP) được gửi qua tin nhắn văn bản, email hoặc ứng dụng.

Lớp bảo mật bổ sung này được thiết kế để bảo vệ tài khoản của người dùng ngay cả khi mật khẩu của họ bị đánh cắp. Tuy nhiên, các hacker đang tìm cách vượt qua “bức tường lửa” này bằng các biện pháp tấn công phi kỹ thuật.

Theo Kaspersky, từ ngày 1/3 đến ngày 31/5/2024, họ đã ngăn chặn 653.088 lượt truy cập vào các trang web lừa đảo nhắm vào các ngân hàng. Cũng trong khoảng thời gian đó, Kaspersky phát hiện 4.721 trang web lừa đảo được tạo ra nhằm vượt qua biện pháp xác thực hai yếu tố.

Khi nạn nhân nhập tên đăng nhập và mật khẩu vào website giả mạo, kẻ lừa đảo sẽ thu thập thông tin ngay lập tức, theo thời gian thực. Sau đó, chúng sẽ đăng nhập và kích hoạt việc gửi mã OTP đến điện thoại của nạn nhân.

Thông thường, ngay cả khi lộ mật khẩu, tài khoản của người dùng vẫn được bảo vệ nhờ xác thực hai yếu tố. Tuy nhiên, kẻ lừa đảo đã sử dụng bot OTP để lừa người dùng tiết lộ mã OTP.

Bot OTP tự động gọi điện đến nạn nhân, mạo danh nhân viên của một tổ chức đáng tin cậy. Bot này sử dụng kịch bản hội thoại lập trình sẵn để thuyết phục nạn nhân tiết lộ mã OTP, từ đó hacker có được mã OTP và sử dụng để truy cập trái phép vào tài khoản.

Kẻ lừa đảo ưa chuộng cuộc gọi thoại hơn tin nhắn, vì nạn nhân có xu hướng phản hồi nhanh hơn. Để tăng hiệu quả, bot OTP mô phỏng giọng điệu và sự khẩn trương của con người trong cuộc gọi nhằm tạo cảm giác tin cậy và tăng tính thuyết phục.

Bot OTP được điều khiển trực tuyến hoặc qua nền tảng nhắn tin như Telegram, kèm theo nhiều tính năng và gói đăng ký khác nhau. Kẻ tấn công có thể tùy chỉnh tính năng của bot để mạo danh các tổ chức, sử dụng đa ngôn ngữ và chọn tông giọng nam hoặc nữ.

Các tùy chọn nâng cao còn bao gồm giả mạo số điện thoại hiển thị giống như từ một tổ chức hợp pháp nhằm đánh lừa nạn nhân một cách tinh vi. Với sự xuất hiện của bot OTP, người dùng đang đối mặt với những nguy cơ mới về bảo mật.

Để không trở thành nạn nhân, người dùng cần tránh nhấp vào các đường link đáng ngờ được gửi qua email, tin nhắn. Khi truy cập vào một website mới, hãy kiểm tra thông tin về đơn vị chủ quản trang web bằng công cụ Whois.

Người dùng cần tránh lỗi đánh máy khi gõ địa chỉ các trang mạng xã hội hay ngân hàng để không vô tình dẫn đến website giả mạo. Thay vì tìm kiếm trên Google, người dùng nên sử dụng dấu trang để lưu lại các website truy cập thường xuyên.

Các ngân hàng và ví điện tử uy tín không bao giờ hỏi mã OTP của người dùng. Trong mọi trường hợp, người dùng tuyệt đối không cung cấp mã OTP cho người khác, đặc biệt là qua các cuộc gọi, tin nhắn, dù thông tin có vẻ thuyết phục đến đâu.