Nhiều năm gần đây, mã OTP và mật khẩu được xem là "lá chắn cuối cùng" bảo vệ tài khoản nhắn tin. Tuy nhiên, một số chiêu lừa đảo mới cho thấy người dùng vẫn có thể mất quyền kiểm soát tài khoản ứng dụng chat mà không cần cung cấp OTP hay mật khẩu.

GhostPairing là một hình thức điển hình, lợi dụng chính các tính năng hợp pháp của ứng dụng để thực hiện hành vi chiếm đoạt tài khoản. Thay vì tấn công trực diện vào hệ thống bảo mật, tin tặc chuyển hướng sang khai thác những tính năng mà người dùng vẫn sử dụng hằng ngày, đặc biệt là cơ chế liên kết và sử dụng tài khoản trên nhiều thiết bị.

Khi tính năng tiện lợi trở thành điểm yếu

Hầu hết các ứng dụng nhắn tin phổ biến hiện nay như WhatsApp, Telegram, Messenger hay Zalo đều hỗ trợ sử dụng trên nhiều thiết bị cùng lúc. Người dùng có thể đăng nhập trên web hoặc máy tính để thuận tiện cho công việc, trong khi tài khoản vẫn hoạt động bình thường trên điện thoại.

Tuy nhiên, chính cơ chế "liên kết thiết bị" này lại mở ra một bề mặt tấn công mới. Thay vì phải vượt qua các lớp xác thực phức tạp, kẻ gian tìm cách lừa người dùng tự tay cấp quyền truy cập cho một thiết bị lạ, dưới vỏ bọc của những thao tác tưởng như vô hại.

Trong số các chiêu trò được ghi nhận trên thế giới thời gian gần đây, GhostPairing cho thấy cách thức chiếm đoạt tài khoản ngày càng tinh vi, dựa nhiều hơn vào thao túng tâm lý người dùng thay vì tấn công kỹ thuật.

GhostPairing hoạt động như thế nào?

GhostPairing không xuất phát từ lỗi bảo mật trong mã nguồn ứng dụng. Đây là một hình thức lừa đảo xã hội (social engineering) khai thác chính cơ chế liên kết thiết bị vốn được thiết kế để tăng tính tiện lợi cho người dùng.

Hình thức này tương đồng với quy trình đăng nhập bằng mã QR trên Web hay các phiên bản desktop: khi người dùng xác nhận ghép thiết bị, hệ thống mặc định coi thiết bị mới là thiết bị hợp lệ, có quyền truy cập vào tài khoản mà không cần nhập lại mật khẩu hay OTP.

Kẻ gian lợi dụng điều này bằng cách dẫn dụ người dùng truy cập vào một trang web giả mạo, có giao diện và hướng dẫn thao tác tương tự quy trình ghép thiết bị chính thống. 

Thay vì yêu cầu thông tin xác thực nhạy cảm, trang này chỉ yêu cầu người dùng thực hiện một bước "xác nhận" tưởng như vô hại. Trên thực tế, thao tác đó đã cấp quyền liên kết tài khoản với thiết bị do tin tặc kiểm soát.

Sau khi ghép đôi thành công, hệ thống ứng dụng chat coi thiết bị của kẻ tấn công như một phiên đăng nhập hợp lệ. Điều này cho phép chúng đọc nội dung trò chuyện, nhận tin nhắn mới và thậm chí gửi tin nhắn đi dưới danh nghĩa nạn nhân, trong khi người dùng vẫn đăng nhập và sử dụng tài khoản bình thường trên thiết bị chính.

Điểm nguy hiểm của GhostPairing nằm ở chỗ quá trình chiếm quyền diễn ra âm thầm, khiến nạn nhân khó phát hiện dấu hiệu bất thường trong thời gian đầu.

Người dùng cần làm gì để tự bảo vệ?

Người dùng cần thay đổi cách tiếp cận với bảo mật tài khoản nhắn tin, không chỉ dừng lại ở việc giữ kín OTP hay mật khẩu như trước đây. Việc xác nhận liên kết thiết bị chỉ nên được thực hiện khi người dùng chủ động khởi tạo và hiểu rõ thao tác mình đang thực hiện, thay vì làm theo các hướng dẫn xuất hiện từ những đường link bên ngoài.

Bên cạnh đó, người dùng nên thường xuyên kiểm tra danh sách các thiết bị đang đăng nhập trong phần cài đặt của ứng dụng chat, đồng thời kích hoạt xác thực hai bước hoặc mã PIN nếu nền tảng hỗ trợ.

Mã xác thực OTP ngày càng rủi ro

Ngày càng nhiều trò lừa đảo nhắm đến mã xác thực OTP vốn đang được đông đảo người dùng Việt sử dụng trong các đăng nhập, giao dịch qua mạng. Có nên tiếp tục tin dùng OTP, hoặc nên dùng phương thức nào an toàn hơn?