Trong nhiều năm qua, xác thực đa yếu tố (MFA) được xem là “lá chắn vàng” giúp bảo vệ tài khoản trực tuyến trước các vụ đánh cắp mật khẩu. Tuy nhiên, giới tội phạm mạng đã nhanh chóng thích nghi. Thay vì tìm cách vượt qua lớp xác thực thứ hai, chúng chuyển sang một chiến thuật đơn giản hơn: khiến chính nạn nhân tự cấp quyền truy cập.
Đây là hình thức tấn công được gọi là MFA Prompt Bombing (hay MFA Fatigue Attack), đang ngày càng phổ biến trong các chiến dịch xâm nhập tài khoản doanh nghiệp và người dùng cá nhân trên toàn cầu.
Đây là hình thức tấn công được gọi là MFA Prompt Bombing (hay MFA Fatigue Attack), đang ngày càng phổ biến trong các chiến dịch xâm nhập tài khoản doanh nghiệp và người dùng cá nhân trên toàn cầu.
MFA Prompt Bombing là gì?
MFA Prompt Bombing là kỹ thuật trong đó tin tặc liên tục gửi các yêu cầu xác thực MFA đến điện thoại hoặc ứng dụng xác thực của nạn nhân. Những thông báo này xuất hiện dồn dập, lặp đi lặp lại hàng chục, thậm chí hàng trăm lần trong thời gian ngắn nhằm gây phiền nhiễu, áp lực hoặc khiến người dùng mất cảnh giác.
Mục tiêu của kẻ tấn công rất đơn giản: chờ đến khi nạn nhân vô tình hoặc chủ động bấm "Approve", "Accept" hoặc "Cho phép" chỉ để chấm dứt chuỗi thông báo liên tục xuất hiện trên thiết bị. Ngay khi thao tác này được thực hiện, tin tặc có thể hoàn tất quá trình đăng nhập và chiếm quyền truy cập tài khoản. Nói cách khác, MFA vẫn hoạt động đúng chức năng của nó, nhưng chính yếu tố con người lại trở thành mắt xích dễ bị khai thác nhất.
Mục tiêu của kẻ tấn công rất đơn giản: chờ đến khi nạn nhân vô tình hoặc chủ động bấm "Approve", "Accept" hoặc "Cho phép" chỉ để chấm dứt chuỗi thông báo liên tục xuất hiện trên thiết bị. Ngay khi thao tác này được thực hiện, tin tặc có thể hoàn tất quá trình đăng nhập và chiếm quyền truy cập tài khoản. Nói cách khác, MFA vẫn hoạt động đúng chức năng của nó, nhưng chính yếu tố con người lại trở thành mắt xích dễ bị khai thác nhất.
Vì sao phương thức này hiệu quả?
Các cuộc tấn công MFA Prompt Bombing không dựa vào lỗ hổng kỹ thuật phức tạp mà khai thác tâm lý người dùng. Thông thường, kẻ tấn công đã sở hữu tên đăng nhập và mật khẩu thông qua các vụ rò rỉ dữ liệu, mã độc đánh cắp thông tin hoặc các chiến dịch lừa đảo trước đó. Khi đăng nhập không thành công do MFA, chúng bắt đầu gửi hàng loạt yêu cầu xác thực tới nạn nhân.
Khi liên tục nhận được thông báo xác thực giữa lúc đang làm việc, họp hành, lái xe hoặc nghỉ ngơi, nhiều người có xu hướng bấm xác nhận theo phản xạ mà không kiểm tra kỹ nguồn gốc yêu cầu. Đây chính là thời điểm tin tặc đạt được mục tiêu.
Trong một số trường hợp, kẻ tấn công còn gọi điện hoặc nhắn tin giả danh bộ phận CNTT của doanh nghiệp, thông báo rằng các yêu cầu xác thực là hợp lệ và yêu cầu người dùng chấp thuận. Sự kết hợp giữa spam thông báo và kỹ thuật lừa đảo xã hội khiến tỷ lệ thành công của các cuộc tấn công này tăng đáng kể.
Khi liên tục nhận được thông báo xác thực giữa lúc đang làm việc, họp hành, lái xe hoặc nghỉ ngơi, nhiều người có xu hướng bấm xác nhận theo phản xạ mà không kiểm tra kỹ nguồn gốc yêu cầu. Đây chính là thời điểm tin tặc đạt được mục tiêu.
Trong một số trường hợp, kẻ tấn công còn gọi điện hoặc nhắn tin giả danh bộ phận CNTT của doanh nghiệp, thông báo rằng các yêu cầu xác thực là hợp lệ và yêu cầu người dùng chấp thuận. Sự kết hợp giữa spam thông báo và kỹ thuật lừa đảo xã hội khiến tỷ lệ thành công của các cuộc tấn công này tăng đáng kể.
Không chỉ là lý thuyết
MFA Fatigue từng được ghi nhận trong nhiều vụ xâm nhập nổi tiếng. Một trong những trường hợp được nhắc đến nhiều nhất là vụ tấn công nhằm vào Uber năm 2022, khi kẻ tấn công liên tục gửi thông báo MFA và sau đó liên hệ với nạn nhân, giả danh nhân viên hỗ trợ kỹ thuật để thuyết phục họ chấp thuận yêu cầu xác thực. Sau khi thành công, đối tượng đã mở rộng quyền truy cập trong hệ thống nội bộ của doanh nghiệp.
Các chuyên gia nhận định rằng khi ngày càng nhiều tổ chức triển khai MFA, loại hình tấn công này sẽ tiếp tục gia tăng bởi nó không yêu cầu kỹ năng kỹ thuật quá cao nhưng lại mang đến hiệu quả đáng kể.
Làm thế nào để phòng tránh?
Để giảm nguy cơ trở thành nạn nhân của MFA Prompt Bombing, các chuyên gia khuyến nghị:
- Không bao giờ chấp thuận yêu cầu MFA nếu bản thân không chủ động đăng nhập.
- Nếu nhận được nhiều thông báo xác thực bất thường, cần đổi mật khẩu ngay lập tức và báo cho bộ phận CNTT hoặc nhà cung cấp dịch vụ.
- Ưu tiên sử dụng các phương thức MFA an toàn hơn như khóa bảo mật phần cứng (FIDO2 Security Key), Passkey hoặc xác thực sinh trắc học thay cho mã SMS hoặc thông báo đẩy đơn giản.
- Kích hoạt các cơ chế xác thực dựa trên ngữ cảnh, vị trí và thiết bị nhằm phát hiện các đăng nhập bất thường.
- Doanh nghiệp cần giám sát các tài khoản xuất hiện số lượng lớn yêu cầu MFA trong thời gian ngắn, bởi đây có thể là dấu hiệu của một cuộc tấn công đang diễn ra.
MFA vẫn quan trọng, nhưng không phải "áo giáp bất khả xâm phạm"
MFA vẫn là một trong những biện pháp bảo vệ tài khoản hiệu quả nhất hiện nay và cần được sử dụng rộng rãi. Tuy nhiên, sự xuất hiện của MFA Prompt Bombing cho thấy an ninh mạng không chỉ phụ thuộc vào công nghệ mà còn phụ thuộc rất lớn vào nhận thức của người dùng.
Trong bối cảnh tội phạm mạng ngày càng tập trung vào việc khai thác hành vi con người thay vì tìm kiếm lỗ hổng kỹ thuật, việc hiểu rõ các chiêu trò như MFA Prompt Bombing có thể giúp người dùng tránh được những cú nhấp chuột tưởng chừng vô hại nhưng đủ để trao toàn bộ tài khoản cho kẻ tấn công.
Trong bối cảnh tội phạm mạng ngày càng tập trung vào việc khai thác hành vi con người thay vì tìm kiếm lỗ hổng kỹ thuật, việc hiểu rõ các chiêu trò như MFA Prompt Bombing có thể giúp người dùng tránh được những cú nhấp chuột tưởng chừng vô hại nhưng đủ để trao toàn bộ tài khoản cho kẻ tấn công.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
