Nhóm tin tặc Tycoon 2FA chuyển sang kỹ thuật lừa đảo Device Code mới

Giới chuyên gia an ninh mạng đang phát ra cảnh báo nghiêm trọng về sự thay đổi chiến thuật nguy hiểm của nhóm tin tặc Tycoon 2FA. Thay vì sử dụng các phương thức truyền thống, nhóm tội phạm này đã chuyển sang áp dụng kỹ thuật Device Code Phishing - một hình thức lừa đảo tinh vi hơn nhiều so với trước đây. Sự chuyển đổi này đánh dấu một bước ngoặt đáng lo ngại trong bối cảnh tội phạm mạng ngày càng phức tạp.

Chi tiết sự việc

Nhóm Tycoon 2FA từng nổi tiếng với khả năng vượt qua hệ thống xác thực hai yếu tố (2FA) truyền thống, giờ đây đã phân tán và áp dụng phương thức Device Code Phishing hoàn toàn mới. Kỹ thuật này hoạt động bằng cách lợi dụng quy trình đăng nhập thiết bị mới hoàn toàn hợp pháp của các dịch vụ trực tuyến. Thay vì tạo ra các trang web giả mạo, tin tặc sẽ lừa nạn nhân thực hiện các bước đăng nhập trên chính website chính thức của dịch vụ.

Quá trình tấn công diễn ra một cách vô cùng tinh vi khi hacker sẽ gửi email hoặc tin nhắn có vẻ chính thống, yêu cầu nạn nhân xác nhận đăng nhập trên thiết bị mới. Nạn nhân sẽ được hướng dẫn truy cập vào trang web chính thức và nhập mã thiết bị được cung cấp. Tuy nhiên, mã này thực tế được tạo ra bởi kẻ tấn công, giúp chúng có thể chiếm quyền truy cập tài khoản mà không cần phá vỡ bất kỳ hệ thống bảo mật nào.

Mức độ nghiêm trọng

Tính nguy hiểm của Device Code Phishing nằm ở khả năng vượt qua hầu hết các biện pháp bảo mật hiện tại. Ngay cả những người dùng có kinh nghiệm và thận trọng cũng có thể bị lừa vì toàn bộ quá trình diễn ra trên website chính thức của dịch vụ. Các hệ thống bảo mật truyền thống không thể phát hiện ra mối đe dọa này vì từ góc độ kỹ thuật, đây là một hoạt động đăng nhập hoàn toàn bình thường.

Hậu quả của việc bị tấn công bằng phương thức này có thể cực kỳ nghiêm trọng. Nạn nhân không chỉ mất quyền truy cập vào tài khoản mà còn có thể bị đánh cắp toàn bộ dữ liệu cá nhân, thông tin tài chính và các tài liệu nhạy cảm. Đối với các doanh nghiệp, rủi ro còn lớn hơn khi hacker có thể xâm nhập vào hệ thống nội bộ, đánh cắp thông tin khách hàng hoặc bí mật thương mại.

Phân tích kỹ thuật

Device Code Flow ban đầu được thiết kế cho các thiết bị không có trình duyệt web hoặc khả năng nhập liệu hạn chế như smart TV hay các thiết bị IoT. Người dùng sẽ nhận được một mã ngắn và được yêu cầu truy cập vào một URL trên thiết bị khác để nhập mã này, từ đó hoàn tất quá trình xác thực. Tin tặc đã lợi dụng cơ chế này bằng cách tự tạo ra các mã thiết bị và lừa nạn nhân nhập chúng.

Điểm đặc biệt nguy hiểm của kỹ thuật này là nó hoàn toàn không cần đến việc tạo ra các trang web giả mạo hay cài đặt malware. Toàn bộ quá trình lừa đảo diễn ra thông qua social engineering - kỹ thuật tâm lý học để thao túng nạn nhân. Kẻ tấn công chỉ cần thuyết phục được nạn nhân thực hiện các bước đăng nhập, và họ sẽ có thể chiếm quyền truy cập một cách hoàn toàn hợp pháp về mặt kỹ thuật.

Khuyến nghị bảo mật

Để bảo vệ bản thân khỏi Device Code Phishing, người dùng cần thực hiện một số biện pháp phòng ngừa quan trọng. Trước tiên, không bao giờ nhập mã thiết bị nếu bạn không chủ động thực hiện việc đăng nhập trên thiết bị mới. Luôn kiểm tra kỹ các email hoặc tin nhắn yêu cầu xác thực, ngay cả khi chúng có vẻ đến từ các dịch vụ chính thống. Kích hoạt thông báo đăng nhập trên tất cả các tài khoản quan trọng để có thể phát hiện sớm các hoạt động đáng ngờ. Cuối cùng, thường xuyên kiểm tra danh sách các thiết bị đã đăng nhập và loại bỏ những thiết bị không xác định.