Theo chuyên trang bảo mật Securitylab, ngày 21/12, các nhà nghiên cứu từ công ty an ninh mạng Trustwave SpiderLabs của Mỹ phát hiện một thủ đoạn lừa đảo trực tuyến mới nhằm chiếm quyền kiểm soát tài khoản Facebook.
Thủ đoạn này bắt đầu khi người dùng bất ngờ nhận được email từ một công ty giả mạo Meta, công ty mẹ Facebook, thông báo đến người dùng rằng họ sẽ bị chặn truy cập do có khiếu nại từ chủ sở hữu về việc vi phạm bản quyền.
Để khôi phục quyền truy cập, người dùng phải tải về biểu mẫu khiếu nại và điền đầy đủ nội dung bằng cách nhấp vào liên kết đính kèm trong email. Liên kết này được giả mạo tinh vi khi giống y hệt giao diện trên website chính thức của Meta.
Sau khi nạn nhân truy cập trang web giả mạo, người dùng được yêu cầu hoàn thành biểu mẫu xác minh tài khoản. Tại đây, họ sẽ phải nhập tên người dùng và mật khẩu, cũng như mã dự phòng xác thực hai yếu tố gồm 8 chữ số.
Tin tặc đã lợi dụng sự mất cảnh giác của người dùng để đánh cắp mã dự phòng xác thực hai yếu tố, nhờ đó dễ dàng chiếm quyền kiểm soát tài khoản.
Mã dự phòng xác thực hai yếu tố được xem là thông tin đặc biệt quan trọng, giúp người dùng có thể lấy lại tài khoản khi không thể sử dụng các phương thức đăng nhập tiêu chuẩn, chẳng hạn vì thay đổi số điện thoại hoặc mất quyền truy cập vào email.
Các chuyên gia của Trustwave SpiderLabs cho rằng, bất chấp nhiều dấu hiệu lừa đảo như địa chỉ người gửi đáng ngờ, các liên kết dẫn đến trang web giả mạo, thiết kế tinh vi của các trang lừa đảo và cảm giác cấp bách... tin tặc vẫn có thể đánh lừa một lượng nạn nhân đáng kể.
"Điều quan trọng là người dùng phải nhận thức rõ ràng rằng mã dự phòng xác thực hai yếu tố chỉ nhằm mục đích khôi phục tài khoản khẩn cấp và sẽ không an toàn khi nhập chúng tại các giao diện chưa được xác minh rõ ràng", công ty an ninh mạng Trustwave SpiderLabs thông tin.
Sau khi phân tích các cuộc tấn công đã xảy ra, các chuyên gia an ninh kết luận rằng, những kẻ tấn công rất linh hoạt trong việc điều chỉnh phương pháp cho phù hợp với các công nghệ bảo mật mới trên mọi nền tảng xã hội. Tuy nhiên, những người luôn tuân thủ chặt chẽ các quy tắc bảo mật sẽ tự bảo vệ được bản thân trước các phương thức lừa đảo này.