Đừng bao giờ chia sẻ mã xác minh

Yêu cầu trợ giúp lịch sự

Gần đây, chúng tôi đã gặp phải một mánh khóe lừa đảo kiểu này. Một người nhận được một tin nhắn SMS có nội dung như sau:

"Xin chào, bạn không biết tôi, nhưng số điện thoại của bạn đã từng thuộc sở hữu của tôi. Tôi đang cố gắng đăng nhập vào một tài khoản cũ được liên kết với số này và nó cho tôi biết nó sẽ gửi mã xác minh vào SMS của số này. Tôi muốn biết liệu bạn có đồng ý cho tôi biết mã xác minh đó là gì không và gửi mã đó lại giúp tôi? Nếu không được, thì cũng không có vấn đề gì cả."

Sự thật là, nếu bạn không sử dụng số điện thoại của mình trong một thời gian dài, nhà khai thác mạng di động của bạn có thể ngắt kết nối và bán cho một người khác. Vì vậy, sẽ có khả năng số điện thoại của bạn có thể đã từng có một chủ sở hữu khác, đặc biệt là nếu bạn chỉ mới sở hữu nó gần đây. Và cũng có nhiều người biết về điều này.

Những yêu cầu kiểu này được viết bằng ngôn ngữ lịch sự và có vẻ rất thuyết phục. Một người tốt bụng thường đánh giá cao sự lịch sự, không những vậy yêu cầu còn nghe có vẻ hợp lý, vì vậy họ thường đồng ý yêu cầu đó. Sau khi mã đến, người nhận gửi lại cho người có yêu cầu lịch sự đó, và rồi nhận được câu trả lời lại với một lòng biết ơn sâu sắc. Tuy nhiên, những "người tốt bụng" (hay còn được gọi là "người Samaritan nhân hậu") vừa trao quyền truy cập tài khoản của họ vào tay kẻ khác.

Đừng bao giờ chia sẻ mã xác minh - Ảnh 1.

Điều gì thực sự xảy ra?

Chắc chắn, có một cơ hội rất nhỏ rằng đó có thể là một thông điệp từ một người thực sự đã từng sở hữu số của bạn và cần sự giúp đỡ từ bạn. Nhưng không hẳn có khả năng đó. Lừa đảo có lẽ là khả năng có thể xảy ra hơn. Dưới đây là cách thức hoạt động của chiêu lừa đảo này.

Trong vùng không gian mạng, kẻ tấn công phát hiện ra một địa chỉ e-mail (của bạn) được liên kết với một số điện thoại (cũng là của bạn). Nếu bạn có hoặc đã từng có tài khoản Yahoo, Twitter hoặc LinkedIn (hoặc một trong hàng trăm dịch vụ ít được biết đến gần đây đã làm rò rỉ dữ liệu người dùng), sẽ không khó để biết số điện thoại nào được liên kết với e-mail của bạn.

Kẻ tấn công bắt đầu bằng cách ăn cắp quyền truy cập vào e-mail của bạn. Để làm được điều đó, chúng cần phải đặt lại mật khẩu. Khi chúng cố gắng đặt lại mật khẩu, dịch vụ sẽ gửi một tin nhắn SMS có mã xác minh đến số điện thoại liên kết với tài khoản để xác nhận rằng chủ sở hữu của tài khoản đang cố gắng đặt lại mật khẩu.

Nhưng trước khi thực hiện bước này, kẻ lừa đảo sẽ gửi cho bạn một tin nhắn SMS lịch sự như trên. Mã này chỉ có hiệu lực trong vài phút, do đó, những kẻ này sẽ phải "nói năng" với bạn tử tế để bạn phải gửi mã này cho chúng không chút chậm trễ.

Với quyền truy cập vào e-mail của bạn, kẻ tấn công có thể đặt lại mật khẩu cho tất cả các tài khoản được liên kết với địa chỉ trên các phương tiện truyền thông xã hội, các dịch vụ thư khác, ví trực tuyến, v.v. Các liên kết để đặt lại mật khẩu được gửi tới e-mail này, và voilà! Các tội phạm mạng đã có quyền truy cập vào tất cả các tài khoản của bạn - còn bạn bây giờ thì không.

Đó là lý do tại sao bạn không bao giờ được chia sẻ bất kỳ mã xác minh nào trong SMS, bất kể có người nào có khẩn cầu xin bạn giúp đỡ đi chăng nữa. Chỉ cần một bước chia sẻ mã đã có thể khóa bạn khỏi gần như toàn bộ các tài khoản trực tuyến của bạn.

Làm gì để kiểm soát chặt chẽ tài khoản?

- Không bao giờ chia sẻ mã xác minh với bất kỳ ai, trong SMS hoặc qua điện thoại. Các mã này là cách chính để dịch vụ xác minh rằng bạn chính là bạn.

- Bật xác thực hai yếu tố bất cứ khi nào có thể. Ngay cả khi bạn mất quyền truy cập vào tài khoản e-mail của mình, ít nhất điều đó sẽ bảo vệ tài khoản khác của bạn khỏi bị đánh cắp.

- Sử dụng các giải pháp bảo mật trên tất cả các thiết bị của bạn, bao gồm cả điện thoại di động. Trong số các tính năng bảo vệ khác, bạn sẽ được cảnh báo về bất kỳ Trojans nào tìm cách để chiếm đoạt mã từ tin nhắn SMS.

Hi vọng bài viết sẽ giúp các bạn có được nhận thức cảnh giác cao hơn nếu đối mặt với chiêu thức lừa đảo này.

VCCLoud via kaspersky.com