Chuyên gia bảo mật Troy Hunt, người sáng lập dịch vụ Have I Been Pwned (HIBP), vừa chia sẻ rằng anh đã trở thành nạn nhân của một email lừa đảo tinh vi. Kẻ tấn công đã xâm nhập vào tài khoản Mailchimp của anh, đánh cắp danh sách địa chỉ email của những người đăng ký nhận bản tin.
Điểm đáng chú ý là Troy Hunt đã nhanh chóng bổ sung các địa chỉ email bị xâm phạm cùng với IP và dữ liệu định vị sơ bộ vào HIBP. Nhờ đó, người dùng có thể kiểm tra xem thông tin của mình có bị ảnh hưởng hay không hoặc nhận thông báo nếu họ đã đăng ký dịch vụ cảnh báo.
Cuộc tấn công Mailchimp
Một số nhân viên của Help Net Security cũng nhận được email lừa đảo, trong đó kẻ tấn công mạo danh Mailchimp. Nội dung email yêu cầu người nhận kiểm tra lại hoạt động gần đây của tài khoản, với lý do “quyền gửi thư đã bị hạn chế do có khiếu nại về thư rác”.
Email lừa đảo này không đề cập đến tên người nhận và được gửi từ một địa chỉ đáng ngờ (hr@group-f.be), không có vẻ gì liên quan đến Mailchimp. Tuy nhiên, Troy Hunt đã giải thích lý do anh mắc bẫy:
- Anh đang bị jet lag và mệt mỏi.
- Khi đọc email trên Outlook cho iOS, anh chỉ nhìn thấy tên giả mạo “MailChimp Account Services” thay vì địa chỉ email thực.
- Nội dung email tạo cảm giác gấp gáp vừa đủ để thúc giục anh hành động ngay.
- Email được gửi đến đúng địa chỉ anh dùng để đăng nhập Mailchimp, khiến nó trông có vẻ hợp lệ.
- Khi trình quản lý mật khẩu 1Password không tự động điền thông tin đăng nhập, anh cũng không nghi ngờ vì điều này đôi khi xảy ra với các dịch vụ có quy trình đăng nhập qua nhiều tên miền khác nhau.
Đáng tiếc, anh không mảy may nghi ngờ khi 1Password – trình quản lý mật khẩu anh thường sử dụng – không tự động điền thông tin đăng nhập Mailchimp vào trang web giả mạo. Theo anh, điều này không bất thường vì nhiều dịch vụ cho phép đăng ký trên một tên miền nhưng lại yêu cầu đăng nhập trên một tên miền khác, và địa chỉ đó vẫn được lưu trong 1Password.
Mailchimp không cung cấp phương thức xác thực hai yếu tố (2FA) có khả năng chống lừa đảo. Hiện tại, người dùng chỉ có thể nhận mã OTP qua SMS hoặc ứng dụng xác thực trên điện thoại – và Troy Hunt đã vô tình nhập mã này vào trang web giả mạo.
Anh nhấn mạnh: “Tôi không nói rằng mọi người không nên dùng 2FA qua OTP, nhưng vụ tấn công này là một minh chứng rõ ràng cho thấy nó vô dụng trước các cuộc tấn công lừa đảo tự động có thể ngay lập tức chuyển tiếp OTP.”
Cuối cùng, anh khuyến khích mọi người sử dụng khóa bảo mật U2F cho những tài khoản quan trọng, như tài khoản quản lý tên miền. Theo anh, nếu Mailchimp hỗ trợ phương thức xác thực chống lừa đảo này, vụ tấn công đã không thể xảy ra. Anh kêu gọi các tổ chức nhanh chóng triển khai các giải pháp bảo mật tiên tiến hơn để bảo vệ người dùng.
Lời khuyên của các chuyên gia
Dù Hunt nhanh chóng nhận ra điều bất thường ngay sau khi nhập thông tin đăng nhập vào trang lừa đảo, anh đã nhanh chóng truy cập vào trang Mailchimp chính thức để đổi mật khẩu, thế nhưng kẻ tấn công vẫn kịp xuất danh sách email của anh. Điều này cho thấy cuộc tấn công được tự động hóa và diễn ra rất nhanh.
Thực tế đáng lo ngại là nhiều dịch vụ trực tuyến vẫn chưa áp dụng các biện pháp bảo vệ phù hợp, như cơ chế chống tấn công phát lại, dù những kiểu tấn công này đã được biết đến từ lâu.
Việc Hunt công khai sự cố này là minh chứng rằng dù có nhiều hướng dẫn và khóa đào tạo bảo mật, không ai có thể miễn nhiễm hoàn toàn trước các cuộc tấn công lừa đảo.
Nhận thức bảo mật rất quan trọng, nhưng công nghệ cũng đóng vai trò không nhỏ trong việc ngăn chặn những vụ tấn công tương tự. Các giải pháp như bộ lọc email chống lừa đảo, giao diện người dùng rõ ràng hơn và phương thức xác thực hai yếu tố an toàn hơn là những yếu tố cần thiết để bảo vệ người dùng tốt hơn
