Kẻ gian sử dụng bot OTP giả cuộc gọi để lừa đảo nạn nhân. Những con bot OTP sẽ tự động gọi điện đến nạn nhân, mạo danh nhân viên của một tổ chức đáng tin cậy. Bot OTP sử dụng kịch bản hội thoại được lập trình sẵn để thuyết phục nạn nhân tiết lộ mã OTP. Thông qua đó, hacker có được mã OTP và sử dụng nó để truy cập trái phép vào tài khoản rồi thực hiện hành vi chiếm đoạt tiền trong tài khoản của nạn nhân.
OTP (One Time Password - mật khẩu dùng một lần) là phương thức dùng trong xác thực 2 yếu tố (2FA) nhằm tăng cường lớp bảo mật thường thấy cho các tài khoản trực tuyến. Mã này thường được hệ thống nơi chứa tài khoản gửi qua tin nhắn (qua số điện thoại đăng ký trước), email hay ứng dụng để người dùng có thêm một lớp bảo vệ tài khoản dù đã bị lộ thông tin đăng nhập. Mã này chỉ sử dụng một lần và được cấp mới liên tục, có thời gian khả dụng rất ngắn (khoảng 60 giây hoặc vài phút tùy hệ thống).
Từng là phương thức xác thực khuyến nghị được xem là an toàn nhưng mới đây, các chuyên gia bảo mật phát hiện một hình thức bot OTP (phần mềm tự động) mới khi kẻ lừa đảo đã sử dụng các cách thức tinh vi để lừa người dùng tiết lộ OTP này, cho phép chúng vượt qua các biện pháp bảo vệ 2FA.
Theo đó, bot OTP là một công cụ được kẻ lừa đảo sử dụng để ngăn chặn mã OTP thông qua hình thức tấn công phi kỹ thuật. Kẻ tấn công thường cố gắng lấy cắp thông tin đăng nhập, rồi truy cập vào tài khoản, kích hoạt việc gửi mã OTP đến điện thoại của nạn nhân. Kế đến, bot OTP sẽ tự động gọi đến nạn nhân, mạo danh là nhân viên của một tổ chức đáng tin cậy, sử dụng kịch bản hội thoại được lập trình sẵn để thuyết phục "con mồi" tiết lộ mã OTP. Khi kẻ tấn công nhận được mã OTP thông qua bot, chúng có thể sử dụng để truy cập trái phép vào tài khoản của nạn nhân.
Với hình thức này, kẻ lừa đảo ưu tiên sử dụng cuộc gọi thoại hơn tin nhắn vì nạn nhân có xu hướng phản hồi nhanh hơn. Bot OTP được thiết lập mô phỏng giọng điệu và sự khẩn trương của con người trong cuộc gọi nhằm tạo cảm giác đáng tin cậy và tính thuyết phục.
Ảnh minh họa. Nguồn cafef.vn |
Bà Olga Svistunova, chuyên gia bảo mật của Kaspersky nhận định: " Tấn công phi kỹ thuật (social engineering) được xem là phương thức lừa đảo cực kỳ tinh vi, đặc biệt là với sự xuất hiện của bot OTP với khả năng mô phỏng một cách hợp pháp các cuộc gọi từ đại diện của các dịch vụ. Để luôn cảnh giác, điều quan trọng là phải duy trì sự thận trọng và tuân thủ các biện pháp bảo mật ".
Một trong những lý do gia tăng bot OTP là được cung cấp dưới dạng dịch vụ, mua bán dễ dàng trên chợ đen của tin tặc. Chúng thường đi kèm nhiều gói đăng ký với tính năng khác nhau, kể cả cho phép kẻ gian tùy chỉnh tính năng của bot để mạo danh tổ chức, sử dụng đa ngôn ngữ, chọn tông giọng nam hoặc nữ... Thậm chí là giả mạo số điện thoại của tổ chức, doanh nghiệp uy tín để đánh lừa nạn nhân.
Để không trở thành nạn nhân, người dùng cần tránh nhấp vào các đường link đáng ngờ được gửi đến qua email, tin nhắn. Nếu lần đầu truy cập vào một website nào đó, hãy kiểm tra thông tin về đơn vị chủ quản trang web bằng công cụ Whois.
Khi gõ địa chỉ các trang mạng xã hội hay ngân hàng, người dùng cần tránh lỗi đánh máy có thể vô tình dẫn đến website giả mạo. Thay vì tìm kiếm trên Google để rồi bị dẫn dụ vào các trang web xấu, người dùng nên sử dụng dấu trang để lưu lại các website truy cập thường xuyên.
Các ngân hàng, ví điện tử uy tín không bao giờ hỏi mã OTP của người dùng. Trong mọi trường hợp, người dùng tuyệt đối không cung cấp mã OTP cho người khác, đặc biệt là qua các cuộc gọi, tin nhắn, bất kể nội dung thông tin có vẻ thuyết phục đến đâu.