MetaMask mới 2FA lừa đảo xuất hiện, SlowMist cảnh báo người dùng nâng cao cảnh giác

Theo tin tức mới nhất, Giám đốc An ninh Thông tin của SlowMist Technology gần đây đã đăng bài trên nền tảng mạng xã hội, cảnh báo người dùng về một loại “xác thực an toàn 2FA” lừa đảo mới xuất hiện trên MetaMask. Đây là ví dụ mới nhất trong chuỗi các sự kiện an ninh trong hệ sinh thái tiền mã hóa gần đây. Từ vụ người dùng bị mất 1,08 triệu USD trong ngày 3 tháng 1 qua vụ aEthLBTC, đến ngày 4 tháng 1, HitBTC bị phát hiện có lỗ hổng nghiêm trọng tiềm tàng, rủi ro an ninh đang gia tăng.

Mối đe dọa mới từ lừa đảo xác thực 2FA

Xác thực 2FA là gì?

2FA (xác thực hai yếu tố) vốn được thiết kế để nâng cao an ninh tài khoản. Tuy nhiên, các hacker đã tìm ra phương thức mới để lợi dụng cơ chế này để lừa đảo. Theo các mô hình sự kiện an ninh liên quan, loại lừa đảo này thường thực hiện qua các cách sau:

• Giả mạo các dịch vụ chính thức hoặc liên quan gửi yêu cầu xác thực giả mạo
• Dụ người dùng nhập hoặc xác nhận mã xác thực 2FA
• Tận dụng lòng tin của người dùng vào các kênh chính thức để lừa đảo qua phishing
• Sau khi lấy được mã xác thực, chiếm quyền kiểm soát tài khoản hoặc thực hiện các thao tác trái phép

Tại sao xác thực 2FA lại trở thành điểm yếu?

Có vẻ mâu thuẫn, nhưng chính điều này là điểm tinh vi của lừa đảo. Người dùng thường lơ là ở bước xác thực 2FA, nghĩ rằng đây là “xác thực chính thức”, nên dễ bị lừa hơn. Khác với các trang phishing thông thường, lừa đảo 2FA tận dụng lòng tin của người dùng vào chính cơ chế bảo mật đó.

Cảnh báo về tình hình an ninh gần đây

Đây không phải là sự kiện đơn lẻ. Các thông tin liên quan cho thấy rủi ro an ninh trong hệ sinh thái tiền mã hóa đang gia tăng:

Xu hướng này cho thấy, các hacker đang liên tục nâng cao thủ đoạn, từ phishing đơn giản đến lợi dụng các cơ chế bảo mật chính thức để lừa đảo.

Người dùng nên làm gì

Dựa trên các đặc điểm chung của các sự kiện an ninh này, các biện pháp phòng ngừa sau đây đáng được chú ý:

• Không nhập mã xác thực 2FA trong bất kỳ cửa sổ pop-up hoặc email nào, kể cả khi trông có vẻ từ chính thức
• Mã xác thực 2FA chỉ dùng để đăng nhập tài khoản của chính bạn, không chia sẻ cho bất kỳ ai hoặc dịch vụ nào
• Truy cập trực tiếp vào trang web chính thức để thực hiện các thao tác nhạy cảm, không qua các liên kết chuyển hướng
• Cảnh giác với các thông báo như “xác thực an toàn”, “bất thường tài khoản” hoặc tương tự
• Kích hoạt các lớp bảo mật bổ sung như ví phần cứng
• Thường xuyên kiểm tra quyền truy cập và nhật ký hoạt động của tài khoản

Tóm lại

Lừa đảo xác thực 2FA mới của MetaMask phản ánh một vấn đề sâu xa hơn: khi các biện pháp phòng thủ an ninh được nâng cấp, các hacker cũng nâng cao chiến lược tương ứng. Từ vụ mất 1,08 triệu USD trong aEthLBTC cho thấy, ngay cả tài sản DeFi cũng có thể bị đánh cắp qua các phép cấp phép độc hại. Việc phát hiện lỗ hổng của HitBTC cũng cho thấy các nền tảng tập trung như sàn giao dịch cũng đối mặt với những thách thức an ninh nghiêm trọng.

Trong bối cảnh này, người dùng cần nhận thức rõ một điểm mấu chốt: không có cơ chế nào hoàn toàn an toàn 100%, phòng thủ cuối cùng vẫn là sự cảnh giác của cá nhân. Không tin vào bất kỳ xác thực chủ động nào, không nhập thông tin nhạy cảm qua các kênh lạ, mới là cách phòng ngừa hiệu quả nhất.