Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.
X
Collapse
 
  • Page of 1
  • Filter
  • Time
  • Show
Clear All
new posts
Previous template Next
  • #1

    Mfa không phải là “bất tử”: Hacker bypass mfa như thế nào?

    Click image for larger version Name: 61yEmgCwNUL.jpg Views: 11 Size: 174.9 KB ID: 438620

    “Có MFA rồi thì yên tâm chưa?”
    Câu trả lời ngắn gọn: chưa chắc.

    Multi-Factor Authentication (MFA) được xem là lớp bảo vệ mạnh để chống lại việc lộ mật khẩu. Tuy nhiên, trong thực tế đã có rất nhiều vụ xâm nhập xảy ra dù hệ thống đã bật MFA.

    Vấn đề không nằm ở việc MFA vô dụng, mà nằm ở cách nó bị khai thác.
    1. MFA là gì và vì sao ai cũng tin nó an toàn?

    MFA yêu cầu ít nhất hai yếu tố xác thực:
    • Thứ bạn biết: mật khẩu, PIN
    • Thứ bạn có: điện thoại, app xác thực, token
    • Thứ bạn là: sinh trắc học

    Ý tưởng nghe có vẻ chắc chắn, nhưng không phải loại MFA nào cũng có mức độ an toàn như nhau.
    1. Kỹ thuật 1: MFA Fatigue (Push Bombing)

    Cách tấn công:
    • Hacker có được username và password (từ leak hoặc phishing)
    • Thử đăng nhập liên tục
    • Hệ thống gửi rất nhiều thông báo MFA push
    • Người dùng:
      • Bị làm phiền
      • Nghĩ là lỗi hệ thống
      • Hoặc chủ quan bấm “Approve”

    Kết quả: hacker đăng nhập thành công.

    Thực tế:
    • Uber (2022) và nhiều công ty lớn từng bị tấn công theo cách này.

    Nguyên nhân:
    • MFA push không yêu cầu xác nhận ngữ cảnh
    • Người dùng có thể approve mà không kiểm tra
    1. Kỹ thuật 2: Phishing Proxy (Evilginx, Modlishka)

    Đây là cách bypass MFA nguy hiểm nhất hiện nay.

    Cách hoạt động:
    • Hacker tạo website giả
    • Website này hoạt động như proxy ngược đến trang login thật
    • Nạn nhân nhập:
      • Username
      • Password
      • Mã MFA
    • Hacker đánh cắp được session cookie hợp lệ

    Lưu ý quan trọng:
    • MFA vẫn hoạt động đúng
    • Nhưng session sau khi login đã bị chiếm quyền

    Nguyên nhân:
    • MFA chỉ bảo vệ quá trình đăng nhập
    • Không bảo vệ phiên làm việc (session)
    1. Kỹ thuật 3: SIM Swap (MFA qua SMS)

    Cách tấn công:
    • Hacker thu thập thông tin cá nhân
    • Lừa nhà mạng chuyển số điện thoại sang SIM mới
    • Nhận mã OTP qua SMS
    • Đăng nhập như người dùng thật

    Nhận định:
    • MFA qua SMS là hình thức yếu nhất
    • Không nên dùng cho hệ thống quan trọng
    1. Kỹ thuật 4: Endpoint bị compromise

    Một số trường hợp MFA bị bypass vì:
    • Máy người dùng nhiễm malware
    • Trình duyệt cài extension độc hại
    • Token hoặc cookie bị đánh cắp từ local storage

    MFA có thể đúng, nhưng thiết bị đầu cuối không an toàn.
    1. Vì sao MFA vẫn bị hack?

    Các nguyên nhân chính:
    • Sử dụng MFA yếu (SMS, push không xác nhận)
    • Người dùng thiếu awareness
    • Phishing ngày càng tinh vi
    • Endpoint không được bảo vệ
    • Session không được ràng buộc với thiết bị
    1. Làm sao để MFA thực sự hiệu quả?

    Khuyến nghị:
    • Ưu tiên FIDO2 hoặc Passkeys
    • Hạn chế MFA push không có xác nhận
    • Bật number matching cho push notification
    • Phát hiện và chặn phishing proxy
    • Ràng buộc session với device, vị trí, hành vi
    • Đào tạo người dùng về an ninh

    MFA không phải là “bật lên là xong”, mà cần được thiết kế và vận hành đúng cách.
    1. Kết luận

    MFA vẫn là thành phần bắt buộc trong bảo mật hiện đại.
    Tuy nhiên:
    • Nó không phải lá chắn tuyệt đối
    • Không thể thay thế defense-in-depth
    • Chỉ hiệu quả khi được cấu hình đúng và giám sát liên tục
    Tags: None
Previous template Next
Working...
X