Rug Pull là một vấn đề thường xuyên xảy ra trong cộng đồng tiền điện tử. Điều này không chỉ do thị trường tiền mã hóa vẫn còn một số rào cản kỹ thuật, mà còn do đặc tính "không thể nhìn thấy, sờ không được" khiến mọi người khó tin tưởng (ở đây chỉ về blockchain, không phải về các sự kiện siêu nhiên). Do đó, một số người tránh xa tiền mã hóa, trong khi một số khác lại mã hóa nhiều lớp, đặt mật khẩu, xác minh bằng tin nhắn, Face ID, xác thực hai yếu tố, mở khóa bằng vân tay, thậm chí chuẩn bị private key, nghĩ rằng như vậy sẽ an toàn tuyệt đối... Nhưng thực sự có như vậy không?
Bật Google 2FA vẫn bị đánh cắp
Trên mạng xã hội Threads, một người dùng có tên jimmie394313 đã chia sẻ rằng tài khoản Gmail của anh ta bị đánh cắp, và chỉ trong vòng 5 phút, tài sản trên sàn giao dịch BingX của anh ta cũng bị đánh cắp! Điều càng khiến mọi người sửng sốt là, anh ta đã bật chức năng xác thực hai yếu tố (2FA), vậy tại sao vẫn xảy ra chuyện này?
Lúc đó, anh ta vẫn chưa biết tại sao lại bị đánh cắp, và cho biết mình đã thiết lập 2FA trên Google, tin này vừa được đăng tải đã thu hút sự quan tâm của nhiều người, họ muốn tìm ra lý do tại sao các biện pháp bảo vệ nhiều như vậy vẫn bị đánh cắp. Không ngờ, vấn đề có thể nằm ở cài đặt của Google Authenticator.
Hacker đánh cắp tài khoản như thế nào?
Tuy nhiên, trước tiên cần nói rằng, có nhiều cách để hacker đánh cắp tài khoản Gmail, bao gồm cả Phishing, Malware và thậm chí là Social Engineering. Ví dụ, hacker có thể giả danh nhân viên chăm sóc khách hàng của sàn giao dịch, yêu cầu người dùng cung cấp mã xác minh, hoặc thông qua trang đăng nhập Google giả mạo, khiến nạn nhân vô tình nhập thông tin tài khoản và mật khẩu của mình. Một khi hacker đã có được thông tin đăng nhập Gmail, cùng với tính năng đồng bộ hóa trên cloud, họ có thể dễ dàng lấy được mã 2FA, khiến các biện pháp bảo vệ của nạn nhân trở nên vô nghĩa.
Có rất nhiều phương thức lừa đảo trong tài sản ảo, bạn có thể tham khảo thêm bài viết này:
Cài đặt Google Authenticator ẩn chứa rủi ro
Một người nổi tiếng khác trên Threads, Ziiv, cho rằng vấn đề có thể nằm ở tính năng "đồng bộ hóa trên cloud" của Google Authenticator.
Sau khi hacker đã đánh cắp thông tin đăng nhập Gmail, nếu nạn nhân để chức năng đồng bộ hóa trên cloud bật, hacker chỉ cần đăng nhập Gmail trên thiết bị khác là có thể tự động đồng bộ mã 2FA của nạn nhân. Điều này giống như nạn nhân tự mở cửa cho hacker, để họ dễ dàng đánh cắp tất cả dữ liệu và tài sản ảo của mình.
*2FA là gì: Xác thực hai yếu tố (2FA) là một phương pháp quản lý danh tính và quyền truy cập, yêu cầu bạn cung cấp hai hình thức xác minh danh tính để truy cập tài nguyên và dữ liệu. Các doanh nghiệp có thể sử dụng 2FA để giám sát và bảo vệ thông tin và mạng lưới dễ bị tấn công nhất của họ.
Ziiv cho rằng, việc tắt đồng bộ hóa trên cloud là rất quan trọng, vì ngay cả khi hacker xâm nhập Gmail bằng bất kỳ cách nào, họ cũng không thể lấy được mã 2FA, như vậy các biện pháp bảo vệ mới thực sự hiệu quả! Vì vậy, không được coi thường, ngoài việc thiết lập 2FA cho tài khoản Google của bạn, "bảo vệ cách thức lấy 2FA" cũng vô cùng quan trọng.
Làm thế nào để tắt đồng bộ hóa trên cloud?
1. Mở ứng dụng Google Authenticator trên điện thoại
2. Nhấn vào biểu tượng hình ảnh cá nhân ở góc trên bên phải
3. Chọn "Sử dụng Authenticator mà không cần đăng nhập tài khoản"
Sau đó nhấn xác nhận, bạn sẽ đã tắt được chức năng đồng bộ hóa trên cloud.
Tất nhiên, sau khi tắt đồng bộ hóa trên cloud, nếu điện thoại của bạn bị mất hoặc hư hỏng, những mã 2FA đó sẽ thực sự không thể lấy lại được (nghe có vẻ như phải chọn giữa an toàn tài sản và tiện lợi). Như tôi tự nghĩ, tài sản ảo của mình cũng không nhiều, mà khả năng mất điện thoại lại khá cao... Vì vậy, tôi vẫn sẽ chọn bật chức năng đồng bộ hóa. (cười)
Nhưng nếu tài sản của bạn quý hơn cả điện thoại, thì đừng ngần ngại nữa, hãy nhanh chóng tắt đồng bộ hóa trên cloud để bảo vệ tài khoản của mình!
Bảo vệ tài khoản của chính mình
Mặc dù 2FA có thể nâng cao tính bảo mật, nhưng nếu nó trở thành "bữa ăn tự chọn" của hacker, thì sẽ rất tệ. Vậy nên, có nên bật đồng bộ hóa trên cloud hay không? Không có câu trả lời chuẩn xác, nhưng tiêu chuẩn duy nhất là - đừng để hacker hiểu về cài đặt bảo mật của bạn hơn chính bạn. Cuối cùng, tài sản có thể kiếm lại được, nhưng nếu tinh thần của bạn sụp đổ thì sẽ khó mà cứu vãn!
〈Dù đã dùng Google 2FA, hacker vẫn đánh cắp tiền mã hóa trong 5 phút? Cài đặt Authenticator ẩn chứa rủi ro!〉 bài viết này được đăng lần đầu trên《NONE LAND》.
