Có một huyền thoại dai dẳng xung quanh việc xác minh hai bước phổ biến – một hình thức xác thực đa yếu tố (MFA). Nhiều người cho rằng những mã bổ sung này qua SMS, ứng dụng xác minh hoặc thẻ ngân hàng + đầu đọc thẻ có thể ngăn chặn các trò lừa đảo lừa đảo phổ biến. Không gì có thể hơn được sự thật!
Xác minh hai bước, được sử dụng bởi dịch vụ nhận dạng chính phủ DigiD, tất cả các ngân hàng, một số công ty bảo hiểm và một số cửa hàng trực tuyến, cùng với những tổ chức khác, chỉ cung cấp biện pháp bảo vệ chống đăng nhập trái phép. Mặt khác, xác minh hai bước ở dạng phổ biến nhất không cung cấp bất kỳ biện pháp bảo vệ nào chống lại các hành vi lừa đảo từ các trang web giả mạo hoặc URL giả mạo.
Đăng nhập trái phép
Đăng nhập trái phép là đăng nhập vào tài khoản của người khác bằng cách sử dụng tên người dùng và mật khẩu hoặc mã PIN của ai đó. Đây có thể là kết quả của việc để lại mật khẩu hoặc mã pin nằm lung tung, mật khẩu hoặc mã pin dễ đoán hoặc bí mật nhìn qua vai của ai đó trong khi đăng nhập hoặc ghim. Với phương thức xác minh bổ sung bằng SMS, ứng dụng xác minh hoặc đầu đọc thẻ và một thứ mà chủ tài khoản mang theo bên mình (điện thoại hoặc thẻ ngân hàng + đầu đọc thẻ), về nguyên tắc đảm bảo rằng chính chủ tài khoản là người đang đăng nhập.
Do đó, nguyên tắc của MFA dựa trên thông tin bạn biết (tên người dùng, mật khẩu hoặc mã pin) và thông tin bạn có (điện thoại hoặc thẻ ngân hàng + đầu đọc thẻ). Nó ngăn chặn việc đăng nhập trái phép, ngay cả khi mật khẩu hoặc mã pin của bạn bị lộ bất ngờ.
Lừa đảo lừa đảo bởi các trang web giả mạo
Sau đó, quá trình tạo ra huyền thoại cực kỳ dai dẳng bắt đầu. Xác minh hai bước mang lại cảm giác an toàn và bảo mật vì bạn sử dụng hai bước bảo mật để truy cập vào tài khoản của mình. Vì điều này, một số người dùng nhầm tưởng rằng nó cũng giúp chống lại các hành vi lừa đảo từ các trang web không có thật hoặc URL giả. Rốt cuộc, bạn đã chứng minh hai lần rằng đó là bạn, phải không?
Tuy nhiên, các hành vi lừa đảo qua các trang web giả mạo hoặc URL giả mạo được tổ chức thông qua cuộc tấn công trung gian. Có một trang web giả mạo và máy tính tội phạm nằm giữa trình duyệt của bạn và máy chủ tài khoản hợp pháp mà bạn đang cố đăng nhập. Nó giống như cung cấp tên người dùng, mật khẩu và kết quả xác minh hai bước cho một đồng nghiệp ngồi đối diện bạn trên máy tính. Đồng nghiệp đó sau đó có thể chỉ cần đăng nhập vào tài khoản của bạn. Nghe có vẻ hợp lý phải không?
Trên thực tế, bạn đang chuyển tên người dùng, mật khẩu và kết quả xác minh hai bước thông qua trình duyệt dễ lừa đến một trang web giả mạo trên máy tính tội phạm. Sau đó, tội phạm sẽ đăng nhập dữ liệu của bạn theo thời gian thực vào máy chủ tài khoản hợp pháp và có toàn quyền kiểm soát tài khoản của bạn kể từ thời điểm đó trở đi.
Ngân hàng trực tuyến: đăng nhập bằng đầu đọc thẻ hoặc bằng ứng dụng ngân hàng di động
Cả đầu đọc thẻ thông minh mà ngân hàng cung cấp và đăng nhập vào ngân hàng trực tuyến thông qua ứng dụng ngân hàng di động đều hoàn toàn vô dụng khi nói đến việc bảo vệ khỏi các hành vi lừa đảo của các trang web ngân hàng giả mạo. Phải thừa nhận rằng chúng hoạt động tốt trước những lần đăng nhập trái phép. Mặt khác, tuyệt đối không phản đối việc truyền trực tiếp dữ liệu tài khoản và kết quả của quá trình xác minh hai bước qua trình duyệt của bạn cho bên thứ ba (tấn công trung gian).
Đó là lý do tại sao việc luôn kiểm tra URL của tất cả các trang web bạn đăng nhập lại rất quan trọng. Điều này chắc chắn sẽ xảy ra nếu bạn truy cập trang web thông qua liên kết trong email, ứng dụng mạng xã hội, trên trang web hoặc sau khi quét mã QR. Địa chỉ web trên thanh địa chỉ của trình duyệt của bạn rất dễ thao tác và khiến nó ít nhiều giống nhau ngay từ cái nhìn đầu tiên. Khi kiểm tra kỹ hơn thì hóa ra hoàn toàn không phải vậy!
Xây dựng tên miền
Chính xác thì với tên miền, có 4 các phần hoặc tiện ích mở rộng mà bạn phải luôn chú ý rõ ràng để nhận biết các trang web giả mạo. Địa chỉ web trên thanh địa chỉ của trình duyệt luôn bắt đầu bằng (1) https:// có thể được theo sau bởi một số phần mở rộng không đáng kể, theo sau là (2) một phần mở rộng chính chính (>> .dutchcowboys >> .example tên miền >> .definitelybritish), NGAY LẬP TỨC theo sau bởi (3) mã quốc gia chính thức (>> .nl >> .com >> .co.uk), theo sau TRỰC TIẾP là (4) dấu đóng / (dấu gạch chéo lên). Không được phép có khoảng trắng trong tên miền.
Bên trên 4 các phần mở rộng có màu sắc khác nhau cùng nhau tạo thành bản chất của mọi tên miền. Cái gì ở giữa hay đằng sau nó không quan trọng. Nhưng ví dụ nó nói:
https://cao bồi Hà Lan.articles.nl/ tuy nhiên, bạn sẽ thấy mình trên trang web (có khả năng là giả mạo) bài viết.nl/ và hoàn toàn không có trên trang web Dutchcowboys.
BẬT xác minh hai bước
Nếu nó có sẵn hoặc có trong tài khoản, hãy luôn sử dụng xác minh hai bước để đăng nhập. Về nguyên tắc, điều này ngăn chặn việc đăng nhập trái phép. Tuy nhiên, không sử dụng tùy chọn để có thể đăng nhập vĩnh viễn mà không cần xác minh hai bước trên cái gọi là thiết bị đáng tin cậy. Các cookie vĩnh viễn được cài đặt bằng tính năng này có thể bị lạm dụng trên (sao chép sang) các thiết bị hoặc trình duyệt của bên thứ ba.
MFA chống lừa đảo
Tuy nhiên, có một dạng MFA bảo vệ chống lại cả hoạt động đăng nhập trái phép và lừa đảo từ các trang web giả mạo hoặc URL giả mạo. Phương pháp như vậy xuất hiện dưới dạng khóa bảo mật điện tử hoặc mã thông báo có cổng USB hoặc kết nối Bluetooth. Sau khi cài đặt hình thức xác minh hai bước như vậy trong tài khoản của bạn, từ giờ trở đi, máy chủ tài khoản sẽ kiểm tra xem bạn có đang đăng nhập từ máy tính bằng khóa bảo mật điện tử hoặc mã thông báo được phê duyệt hay không, ngoài tên người dùng và mật khẩu. Cổng USB hoặc thông qua kết nối Bluetooth.
Giờ đây, việc ‘tấn công trung gian’ không còn có thể thực hiện được nữa. Rốt cuộc, khi tội phạm cố gắng đăng nhập bằng dữ liệu tài khoản bị đánh cắp, máy chủ tài khoản sẽ phát hiện ra rằng khóa bảo mật điện tử hoặc mã thông báo không có trong cổng USB hoặc qua kết nối Bluetooth của máy tính chạy trình duyệt đăng nhập.
Sự sẵn có của MFA chống lừa đảo
Thật không may, có tương đối ít tài khoản phổ biến cung cấp phương thức đăng nhập phức tạp hơn về mặt kỹ thuật như vậy. Theo hiểu biết của tôi, Google và Microsoft là một số trong số ít cung cấp phương pháp như vậy. Ngoài ra, bạn vẫn phải mua khóa bảo mật vật lý phù hợp với tài khoản (trong trường hợp này là Khóa bảo mật từ khoảng € 40) mà bạn thường có thể sử dụng cho nhiều tài khoản.
Mặt khác, trong thế giới kinh doanh, các khóa hoặc mã thông báo bảo mật điện tử như vậy đã được sử dụng hàng loạt trong nhiều năm để cho phép đăng nhập từ xa an toàn vào mạng công ty.
Ứng dụng ngân hàng di động đóng vai trò là khóa bảo mật riêng
Nếu bạn đăng nhập từ ứng dụng ngân hàng di động, bạn sẽ được bảo vệ trước khỏi các trang web giả mạo hoặc URL giả mạo. Ứng dụng ngân hàng di động được đảm bảo chỉ kết nối với ngân hàng của bạn. Do đó, các hành vi lừa đảo qua các trang web giả mạo không thể thực hiện được từ ứng dụng ngân hàng di động. Ứng dụng ngân hàng di động hoạt động như một khóa bảo mật điện tử của chính nó.
Tuy nhiên, do cấu trúc của hệ điều hành, ‘ứng dụng làm khóa bảo mật’ chỉ áp dụng được trên Android và iOS. Thật không may là không có trong các hệ điều hành tương đối mở hoặc không an toàn, chẳng hạn như Windows hoặc macOS. Điều này yêu cầu ít nhất các khóa bảo mật vật lý có USB hoặc Bluetooth.
CHĂM SÓC
Nếu yêu cầu thanh toán trên máy tính bảng hoặc thiết bị di động của bạn vẫn mở liên tục trong trình duyệt web trên thiết bị di động thay vì trong ứng dụng ngân hàng di động sau khi bạn nhập lựa chọn cho ngân hàng, đây có thể là dấu hiệu cho thấy có điều gì đó không ổn với yêu cầu thanh toán liên quan. Việc lạm dụng thông tin ngân hàng chỉ có thể xảy ra trong trình duyệt web. Sau đó thử lại sau để đảm bảo rằng không phải ứng dụng ngân hàng của bạn tạm thời ngoại tuyến. Nếu yêu cầu thanh toán tiếp tục mở trong trình duyệt web trên thiết bị di động của bạn sau khi chọn ngân hàng thì bạn có thể yên tâm cho rằng yêu cầu thanh toán này là độc hại!
Ngân hàng trực tuyến: xác minh hai bước qua ứng dụng ngân hàng di động KHÔNG bảo vệ!
Mặt khác, phương thức đăng nhập di động phổ biến dành cho ngân hàng trực tuyến không gì khác hơn là xác minh hai bước thông thường thông qua một ứng dụng không cung cấp biện pháp bảo vệ chống lại các trò gian lận lừa đảo. Xét cho cùng, bạn không thực hiện các giao dịch trực tuyến của mình từ ứng dụng mà từ một trình duyệt về cơ bản rất dễ bị đánh lừa.
Các ngân hàng lựa chọn bảo mật ngân hàng internet yếu
Tất nhiên, thật đáng tiếc khi các ngân hàng tiếp tục đánh lừa khách hàng của họ bằng đầu đọc thẻ và phương thức đăng nhập di động cho ngân hàng trực tuyến. Những phương pháp này chỉ cung cấp khả năng bảo vệ chống lại việc đăng nhập trái phép chứ không chống lại các hành vi lừa đảo lừa đảo của các trang web ngân hàng giả mạo. Điều này trong khi các khóa bảo mật điện tử nói trên có thể bảo vệ ngân hàng trực tuyến khỏi đăng nhập trái phép và chống lừa đảo bởi các trang web ngân hàng giả mạo.
Với khoản đầu tư hiệu quả, các ngân hàng có thể bổ sung thêm một lớp bảo mật đầy đủ cho ngân hàng trực tuyến nhằm ngăn chặn hoàn toàn các hành vi lừa đảo qua các trang web ngân hàng giả. Ngân hàng trực tuyến sau đó sẽ thực sự trở nên an toàn như ngân hàng di động thông qua ứng dụng ngân hàng.
Bài viết này đã được tạo ra với sự quan tâm tối đa. Tuy nhiên, tác giả không chịu bất kỳ trách nhiệm pháp lý nào liên quan đến các chủ đề được mô tả trong bài viết này.
