According to the technology site PCmag, hackers have not only been able to trick Google and Yahoo into sending two-factor authentication codes via SMS, but also authenticator apps like Google Authenticator.
Securing your account with two-factor authentication is considered an effective way to fend off hackers. But this system is not as perfect as we think. According to Amnesty International, a mysterious group of hackers has bypassed this account security method and fooled about 1,000 people.
According to the announcement, this attack was carried out through the use of emails and (fake) login pages. And it targeted reporters and activists in the Middle East and North Africa.
Theo trang công nghệ PCmag tiết lộ, các hacker không chỉ lừa lấy được các mã xác thực hai lớp của Google và Yahoo qua tin nhắn SMS, mà ngay cả các ứng dụng xác thực như Google Authenticator cũng bị ảnh hưởng.
Bảo mật tài khoản của bạn bằng xác thực hai lớp được xem như cách làm hiệu quả để chống đỡ các hacker. Nhưng hệ thống này không hoàn hảo như chúng ta nghĩ. Theo tổ chức Ân xá Quốc tế, một nhóm hacker bí ẩn đã qua mặt được cách bảo mật tài khoản này và đánh lừa khoảng 1.000 người.
Theo công bố, cuộc tấn công này được thực hiện thông qua việc sử dụng email và các trang đăng nhập (giả mạo). Và nó được nhắm tới các phóng viên cũng như các nhà hoạt động ở khu vực Trung Đông và Bắc Phi.
The attack is said to have been designed to trick victims into giving hackers access to their Google and Yahoo accounts, by tricking them into not only their login credentials but also their two-factor authentication passcode.
How to bypass SMS two-factor authentication
For those who don’t know, the two-factor authentication mechanism works like this: In addition to their login credentials, users will be required to enter a one-time passcode sent to their phones.
According to Amnesty International, the hacker group they are tracking begins the attack by sending fake alerts that look like they come from Google or Yahoo, which makes it easier for them to convince victims.
The alerts will claim that the victim’s account has been compromised and provide a link to a real-looking login page to reset their password.
Được biết, thủ đoạn của cuộc tấn công này nhằm đánh lừa nạn nhân trao quyền truy cập tài khoản Google và Yahoo cho các hacker, thông qua việc lừa lấy được không chỉ thông tin đăng nhập vào tài khoản mà còn cả đoạn mã passcode dùng cho xác thực hai lớp.
Cách thức qua mặt hệ thống xác thực 2 lớp gửi mã qua SMS
Đối với những người chưa biết, cơ chế xác thực hai lớp hoạt động như sau: Bên cạnh các thông tin đăng nhập, người dùng sẽ phải nhập vào đoạn passcode dùng một lần gửi qua điện thoại của mình.
Theo tổ chức Ân xá Quốc tế, nhóm hacker mà họ đang theo dõi bắt đầu cuộc tấn công bằng cách gửi các cảnh báo giả mạo giống như chúng tới từ Google hay Yahoo, điều này khiến chúng dễ thuyết phục được nạn nhân hơn.
Các cảnh báo sẽ tuyên bố rằng tài khoản của nạn nhân đã bị xâm nhập và cung cấp một đường link tới một trang đăng nhập trông giống như thật, để reset lại mật khẩu.
“For most users, the prompt from Google to change your password seems like a legitimate reason for the company to contact you.” But in reality, the login page is fake.
To investigate further into how the hackers carried out the attack, Amnesty International created a test Google account and clicked on the link in the hackers’ phishing email.
As is typical of phishing scams, the fake Gmail page asks victims to log in to their account. After the victim enters their account password, the hackers’ automated system redirects them to another website (which looks exactly like the “real” one), informing them that they will be sending a two-factor authentication code via SMS to the phone number they registered with their account.
“Với phần lớn người dùng, lời nhắc từ Google yêu cầu đổi mật khẩu dường như là một lý do chính đáng để công ty liên lạc với bạn.” Nhưng trên thực tế, trang đăng nhập là giả.
Để điều tra sâu hơn vào cách thức thực hiện cuộc tấn công của nhóm hacker này, tổ chức Ân xá Quốc tế đã tạo ra một tài khoản Google thử nghiệm và click vào đường link trên email lừa đảo của hacker.
Như thủ đoạn lừa đảo thường thấy, trang Gmail giả này sẽ yêu cầu nạn nhân đăng nhập vào tài khoản của họ. Sau khi nạn nhân nhập vào mật khẩu tài khoản, hệ thống tự động của hacker sẽ điều hướng nạn nhân tới một trang web khác (trông y như hàng “chính chủ”), thông báo với họ rằng, chúng sẽ gửi mã xác thực hai lớp qua SMS tới số điện thoại mà họ đã đăng ký cho tài khoản của mình.
When the user receives a valid two-factor authentication code and enters it into the fake website when prompted, the hacker’s server automatically forwards that authentication code to the real service website to log in, all at the same speed as a regular user.
The hacker’s tool also automatically generates an App Password (a separate password that allows third-party applications to access the email account), so the hacker can stay logged into the user’s account without having to do this all over again.
Not only are the passcodes sent via SMS
Khi người dùng nhận được mã xác thực hai lớp hợp lệ và nhập vào trang web giả mạo khi có yêu cầu, máy chủ của hacker sẽ tự động chuyển tiếp mã xác thực đó đến trang web dịch vụ thực để đăng nhập, tất cả đều diễn ra với tốc độ như người dùng thông thường.
Công cụ của hacker còn tự động tạo ra một App Password (một mật khẩu riêng biệt cho phép các ứng dụng bên thứ ba truy cập vào tài khoản email), vì vậy các hacker có thể duy trì đăng nhập vào tài khoản của người dùng mà không phải làm lại các thao tác này từ đầu.
Không chỉ các mã passcode gửi qua SMS
According to Claudio Guarnieri, a technology engineer at Amnesty International, this approach can also be used to trick two-factor authentication codes sent via SMS into being obtained from two-factor authentication apps such as Google Authenticator.
In another case, the report found, the hackers’ system automatically took over a Yahoo account and then transferred it to Gmail, using a legitimate data transfer service called ShuttleCloud.
This tool “allows attackers to automatically and instantly create a clone of the victim’s Yahoo account in a Gmail account under their control.”
However, the Amnesty International report also mentioned a possible alternative to two-factor authentication codes: hardware keys containing security tokens. These work in a similar way to two-factor authentication, but by plugging the key into your computer to log in to the account you want to protect.
With this device, an attacker needs to find a way to access and steal your key to be able to access your account. A typical example of this type of device is the Yubikey provided by Yubico. In addition, Google also has its own hardware token key in the Advanced Protection Program.
Theo Claudio Guarnieri, kỹ sư công nghệ của Tổ chức Ân xá Quốc tế, không chỉ với các mã xác thực hai lớp được gửi qua SMS, cách tiếp cận này cũng có thể được sử dụng để lừa lấy mã từ các ứng dụng xác thực hai lớp ví dụ như Google Authenticator.
Bên cạnh đó, báo cáo cũng phát hiện ra một trường hợp khác, hệ thống của hacker tự động giành lấy một tài khoản Yahoo và sau đó chuyển nó sang Gmail, bằng cách sử dụng một dịch vụ dịch chuyển dữ liệu hợp lệ có tên ShuttleCloud.
Công cụ này “cho phép những kẻ tấn công tự động tạo ra ngay lập tức một bản sao tài khoản Yahoo của nạn nhân trong tài khoản Gmail dưới quyền kiểm soát của chúng.”
Tuy vậy, báo cáo của tổ chức Ân xá Quốc tế cũng đề cập đến một sự thay thế có thể cho các mã xác thực hai lớp, đó là các khóa phần cứng chứa token bảo mật. Chúng hoạt động tương tự như một biện pháp xác thực hai lớp, nhưng bằng cách cắm khóa này vào trong máy tính của bạn để đăng nhập vào tài khoản cần bảo vệ.
Với thiết bị này, kẻ tấn công cần phải tìm cách tiếp cận và ăn trộm chiếc khóa đó của bạn mới có thể truy cập vào tài khoản của bạn. Điển hình của loại thiết bị này là các Yubikey do hãng Yubico cung cấp. Ngoài ra Google cũng có khóa phần cứng token của riêng mình trong chương trình Advanced Protection Program.
Source: PCmag
Nguồn: PCmag
TOP 2: BEST WEBSITE DESIGN HOTSTING I AM USING
TOP 1: Hostinger: FREE DOMAIN FOR 1 YEAR, Watch this video to follow if you choose to buy hostinger (recommended #1) DISCOUNT CODE SINHGIANG
TOP 2: HOTSTING THIẾT KẾ WEBSITE TỐT NHẤT TÔI ĐANG SỬ DỤNG
TOP 2: HostArmada: SEE HERE
TOP 1: Hostinger: BẢN MIỄN PHÍ TÊN MIỀN TRONG 1 NĂM, Xem video này theo dõi nếu bạn chọn mua hostinger (khuyến nghị #1) MÃ GIẢM GIÁ SINHGIANG
TOP 2 : HostArmada: XEM TẠI ĐÂY