024.3225.2096

Phát hiện trò lừa đảo trộm mã OTP bằng cuộc gọi tự động

Hàng nghìn cuộc gọi tấn công bằng website giả mạo có sử dụng bot OTP đã bị ngăn chặn, nhưng đó chỉ là "bề nổi" của một chiêu trò lừa đảo mới gần đây.
 

OTP (One Time Password - mật khẩu dùng một lần) là phương thức dùng trong xác thực 2 yếu tố (2FA) nhằm tăng cường lớp bảo mật thường thấy cho các tài khoản trực tuyến. Mã này thường được hệ thống nơi chứa tài khoản gửi qua tin nhắn (qua số điện thoại đăng ký trước), email hay ứng dụng để người dùng có thêm một lớp bảo vệ tài khoản dù đã bị lộ thông tin đăng nhập. Mã này chỉ sử dụng một lần và được cấp mới liên tục, có thời gian khả dụng rất ngắn (khoảng 60 giây hoặc vài phút tùy hệ thống).
 

Từng là phương thức xác thực khuyến nghị được xem là an toàn nhưng mới đây, các chuyên gia bảo mật phát hiện một hình thức bot OTP (phần mềm tự động) mới khi kẻ lừa đảo đã sử dụng các cách thức tinh vi để lừa người dùng tiết lộ OTP này, cho phép chúng vượt qua các biện pháp bảo vệ 2FA.
 

Theo đó, bot OTP là một công cụ được kẻ lừa đảo sử dụng để ngăn chặn mã OTP thông qua hình thức tấn công phi kỹ thuật. Kẻ tấn công thường cố gắng lấy cắp thông tin đăng nhập, rồi truy cập vào tài khoản, kích hoạt việc gửi mã OTP đến điện thoại của nạn nhân. Kế đến, bot OTP sẽ tự động gọi đến nạn nhân, mạo danh là nhân viên của một tổ chức đáng tin cậy, sử dụng kịch bản hội thoại được lập trình sẵn để thuyết phục "con mồi" tiết lộ mã OTP. Khi kẻ tấn công nhận được mã OTP thông qua bot, chúng có thể sử dụng để truy cập trái phép vào tài khoản của nạn nhân.


Kẻ gian sử dụng bot OTP để giả cuộc gọi nhằm khai thác mật khẩu dùng 1 lần của nạn nhân.

Kẻ gian sử dụng bot OTP để giả cuộc gọi nhằm khai thác mật khẩu dùng 1 lần của nạn nhân.
 

Với hình thức này, kẻ lừa đảo ưu tiên sử dụng cuộc gọi thoại hơn tin nhắn vì nạn nhân có xu hướng phản hồi nhanh hơn. Bot OTP được thiết lập mô phỏng giọng điệu và sự khẩn trương của con người trong cuộc gọi nhằm tạo cảm giác đáng tin cậy và tính thuyết phục.
 

Nghiên cứu của hãng bảo mật Kaspersky cho thấy tác động đáng kể của các cuộc tấn công phishing và bot OTP. Trong khoảng thời gian từ ngày 1/3 đến ngày 31/5, các giải pháp bảo mật đã ngăn chặn được 653.088 lượt truy cập trang web được tạo ra bởi bộ công cụ phishing nhắm vào các ngân hàng. Dữ liệu đánh cắp từ các trang web này thường được sử dụng trong cuộc tấn công bằng bot OTP. Cũng trong khoảng thời gian đó, Kaspersky đã phát hiện 4.721 trang web phishing do các bộ công cụ tạo ra nhằm mục đích vượt qua xác thực hai yếu tố theo thời gian thực.
 

Bà Olga Svistunova, chuyên gia bảo mật của Kaspersky nhận định: "Tấn công phi kỹ thuật (social engineering) được xem là phương thức lừa đảo cực kỳ tinh vi, đặc biệt là với sự xuất hiện của bot OTP với khả năng mô phỏng một cách hợp pháp các cuộc gọi từ đại diện của các dịch vụ. Để luôn cảnh giác, điều quan trọng là phải duy trì sự thận trọng và tuân thủ các biện pháp bảo mật".
 

Một trong những lý do gia tăng bot OTP là được cung cấp dưới dạng dịch vụ, mua bán dễ dàng trên chợ đen của tin tặc. Chúng thường đi kèm nhiều gói đăng ký với tính năng khác nhau, kể cả cho phép kẻ gian tùy chỉnh tính năng của bot để mạo danh tổ chức, sử dụng đa ngôn ngữ, chọn tông giọng nam hoặc nữ... Thậm chí là giả mạo số điện thoại của tổ chức, doanh nghiệp uy tín để đánh lừa nạn nhân.

theo VTC


Bình luận facebook
Bình luận form
Các bài viết khác
06/02/2025 5  Lượt xem
Google vừa cho biết, mô hình AI mạnh nhất của công ty Gemini đã chính thức được giới thiệu tới tất cả người dùng.
Chi tiết
04/02/2025 15  Lượt xem
Không còn nghi ngờ, trí tuệ nhân tạo sẽ tiếp tục là công nghệ được nhắc đến nhiều nhất vào năm 2025, và ngày càng gắn bó sâu sắc với cuộc sống của chúng ta.
Chi tiết
04/02/2025 7  Lượt xem
Mới đây, Kaspersky Lab cho biết đã phát hiện một chương trình độc hại chưa từng thấy trước đây có thể tấn công iPhone.
Chi tiết
16/01/2025 30  Lượt xem
Sigma Smart Detect - giải pháp phát hiện ra các hình ảnh cần thiết trong các video vừa được công nhận là một trong Top 10 giải pháp Make in Vietnam 2024 về "Công nghệ mới".
Chi tiết
14/01/2025 33  Lượt xem
Vụ kiện trợ lý ảo Siri của Apple nghe lén đã khiến nỗi lo của người dùng về việc smartphone ghi âm cuộc trò chuyện để đề xuất quảng cáo xuất hiện trở lại.
Chi tiết
10/01/2025 50  Lượt xem
Người dân cần đề cao cảnh giác khi nhận được tin nhắn, email với nội dung thông báo khẩn, cẩn trọng xác minh thông qua số điện thoại hoặc các cổng thông tin chính thống.
Chi tiết
08/01/2025 34  Lượt xem
Bối cảnh chính trị của Mỹ sẽ có những thay đổi đáng kể vào năm 2025, và những thay đổi này sẽ tác động mạnh mẽ đến việc điều chỉnh trí tuệ nhân tạo (AI).
Chi tiết
07/01/2025 28  Lượt xem
Chuyên gia bảo mật cảnh báo, những kẻ lừa đảo tiền điện tử có thể đóng giả người tuyển dụng việc làm trực tuyến để đánh lừa nạn nhân, xâm nhập vào thiết bị để rút tiền.
Chi tiết
06/01/2025 58  Lượt xem
Từ điện thoại thông minh, máy tính bảng cho đến các thiết bị gia dụng hiện đại, công nghệ màn hình cảm ứng đang ngày càng phổ biến và tiện dụng.
Chi tiết
03/01/2025 31  Lượt xem
Theo khuyến cáo của các chuyên gia, người dùng không nên chia sẻ quá nhiều thông tin với chatbot AI, đặc biệt là những dữ liệu riêng tư.
Chi tiết
31/12/2024 36  Lượt xem
Không ít người dùng có thói quen chia sẻ công khai hình ảnh, video, giọng hát lên mạng xã hội. Tuy nhiên, Cục Điều tra Liên bang Mỹ cảnh báo nên dừng ngay hành động này.
Chi tiết
27/12/2024 47  Lượt xem
Luật Công nghiệp công nghệ số tạo cơ chế chính sách để hiện thực hóa Chiến lược phát triển công nghiêp bán dẫn Việt Nam.
Chi tiết
26/12/2024 56  Lượt xem
Việc xác thực người dùng trên mạng xã hội thường được thực hiện theo 3 hình thức: qua email, số điện thoại di động và số căn cước công dân.
Chi tiết
25/12/2024 56  Lượt xem
Các lĩnh vực được bình chọn gồm: Cơ chế chính sách; Khoa học, công nghệ ứng dụng; Khoa học xã hội và nhân văn; Tôn vinh nhà khoa học.
Chi tiết
24/12/2024 78  Lượt xem
Liên tiếp trong thời gian gần đây, nhiều người dân do không nhận diện được hành vi lừa đảo trên không gian mạng nên vẫn mắc bẫy, trở thành nạn nhân của đối tượng phạm tội.
Chi tiết
17/12/2024 66  Lượt xem
Cung cấp dịch vụ công trực tuyến là nhiệm vụ trọng tâm, cốt lõi, trong phát triển Chính phủ điện tử hướng tới Chính phủ số, lấy người dân là trung tâm, đối tượng phục vụ.
Chi tiết
16/12/2024 66  Lượt xem
Ngày 13/12, Cốc Cốc đã phát hành Báo cáo xu hướng tìm kiếm và lướt web 2024, nhìn lại những mối quan tâm nổi bật của người dùng Việt trên Internet trong năm qua.
Chi tiết
12/12/2024 62  Lượt xem
Sáng nay (12/12), công cụ chatbot tích hợp trí tuệ nhân tạo ChatGPT của OpenAI đã gặp sự cố trên toàn cầu, khiến người dùng không thể truy cập và sử dụng.
Chi tiết
11/12/2024 69  Lượt xem
Năm 2024 tiếp tục ghi nhận sự phát triển vượt trội của trí tuệ nhân tạo khi AI trở nên ngày càng giống người hơn, đạt trình độ siêu việt hơn và chứa cảm xúc nhiều hơn.
Chi tiết
10/12/2024 98  Lượt xem
Trong lĩnh vực y tế, trí tuệ nhân tạo (AI) đã có những đóng góp nổi bật, giúp cải thiện sức khỏe của người tiêu dùng và các bệnh nhân.
Chi tiết
Bộ TT&TT đã cấp giấy phép mới cho phép Công ty DTV.CO được mở rộng thiết lập hạ tầng truyền dẫn truyền hình số mặt đất DTB-T2 tại 6 tỉnh Bắc Trung Bộ gồm: Thanh Hóa, Nghệ An, Hà Tĩnh, Quảng Bình, Quảng Trị, Thừa Thiên Huế.
Ngày 19/5/2019, tại Hà Nội, Công ty CP Truyền hình số Miền Bắc (DTV) đã long trọng tổ chức Lễ kỷ niệm 5 năm ngày thành lập, cũng là thời điểm mà Công ty chính thức bấm nút phát sóng thử nghiệm truyền hình số DVB-T2 tại Hà Nội.