Sau khi mã xác minh chính xác được nhập vào website thì các thay đổi đối
với tài khoản của bạn mới được thực hiện.
Tuy nhiên, ở đây có một vấn đề. Theo các nhà nghiên cứu tại Symantec, khi
gửi tin nhắn để xác nhận danh tính, nếu bạn không để ý, một người nào đó
tình cờ biết được số điện thoại di động của bạn sẽ có thể thực hiện tấn công
social engineering
và đánh cắp mã đặt lại mật khẩu được bảo vệ bằng
2FA.
17
Social Engineering (tấn công phi kỹ thuật): Trong lĩnh vực an ninh thông
tin, tấn công social engineering chỉ việc thao túng người khác bằng tâm lý
học để khiến họ thực hiện các hành động hoặc tiết lộ các thông tin bí mật.
Giả sử tôi muốn chiếm tài khoản email nhưng không biết mật khẩu của bạn.
Tôi biết số điện thoại di động của bạn vì thông tin về bạn rất dễ tìm thấy trên
Google. Tôi có thể vào trang cài đặt lại cho dịch vụ email của bạn và yêu
cầu đặt lại mật khẩu. Do bạn đã bật tính năng xác thực hai yếu tố, nên dịch
vụ này sẽ gửi tới điện thoại của bạn một tin nhắn chứa mã xác thực. Tới đây
thì mọi chuyện vẫn ổn đúng không? Chờ đã.
Vụ tấn công điện thoại của nhà hoạt động chính trị DeRay Mckesson gần
đây cho thấy kẻ xấu có thể đánh lừa nhà cung cấp dịch vụ di động để thực
hiện đổi SIM như thế nào. Nói cách khác, kẻ tấn công có thể giành quyền
kiểm soát dịch vụ di động của bạn và nhận các tin nhắn gửi tới bạn – chẳng
hạn như tin nhắn chứa mã xác thực từ Google gửi đến để đặt lại tài khoản
Gmail đã được bảo vệ bằng 2FA. Điều này dễ thực hiện hơn là lừa một
người đọc to tin nhắn chứa mật khẩu mới của họ – nhưng cách này vẫn khả
thi, và đòi hỏi kỹ thuật tấn công social engineering.
Do không đọc được mã xác minh mà nhà cung cấp dịch vụ email gửi đến
điện thoại của bạn, nên tôi sẽ phải giả vờ là một người khác để lấy được nó
từ tay bạn. Chỉ vài giây trước khi bạn nhận được tin nhắn thực sự từ nhà
cung cấp email, chẳng hạn Google, tôi có thể gửi tin nhắn cho bạn với nội
dung: “Google vừa phát hiện có hoạt động bất thường trên tài khoản của
