Năm 2026: Khi quy trình xác thực trở thành chiến trường mới của tấn công chiếm đoạt tài khoản (ATO)
Khi các phương thức đăng nhập truyền thống dần được thay thế bằng passkey, tội phạm mạng đang chuyển hướng tấn công vào các lớp xác thực và phục hồi tài khoản. Hãy cùng tìm hiểu cách bảo vệ hệ thống...
Trong nhiều năm qua, các cuộc tấn công chiếm đoạt tài khoản (ATO) thường đi theo một kịch bản quen thuộc: kẻ tấn công thu thập thông tin đăng nhập bị rò rỉ và sử dụng các công cụ tự động để thực hiện credential stuffing. Tuy nhiên, kỷ nguyên này đang dần khép lại khi các biện pháp bảo mật như passkey trở nên phổ biến.
Table Of Content
Sự dịch chuyển của bề mặt tấn công
Theo nghiên cứu từ FIDO Alliance năm 2026, khoảng 75% người dùng toàn cầu đã kích hoạt passkey trên ít nhất một tài khoản. Khi mật khẩu không còn là mắt xích yếu nhất, tội phạm mạng đã chuyển hướng sang các điểm yếu mới: quy trình xác thực danh tính và khôi phục tài khoản. Các luồng công việc như khôi phục mật khẩu, đăng ký lại thiết bị, hoặc các liên kết xác thực (magic link) hiện đang trở thành mục tiêu hàng đầu.
Việc đánh chặn các magic link thông qua các lỗ hổng deep link trên di động hoặc chiếm quyền kiểm soát hộp thư đến đang cho phép kẻ tấn công bypass hoàn toàn quy trình xác thực chính thống.
AI và sự bùng nổ của tấn công giả mạo
Trí tuệ nhân tạo tạo sinh (Generative AI) đã thay đổi cuộc chơi, biến việc xác thực danh tính thành một mục tiêu dễ dàng. Báo cáo từ Veriff cho thấy 85% các cuộc tấn công gian lận hiện nay liên quan đến giả mạo danh tính. Các kỹ thuật như deepfake, luồng video giả mạo và tài liệu tổng hợp bằng AI không còn là ngoại lệ mà đã trở thành xu hướng chủ đạo.
Hướng đi mới cho phòng thủ ATO
Để đối phó với bối cảnh đe dọa mới, các tổ chức cần tập trung vào ba trụ cột chính trong 12-18 tháng tới:
- Intent binding (Ràng buộc ý định): Không chỉ xác thực danh tính, hệ thống cần liên kết hành động của người dùng với một giao dịch cụ thể thông qua mã hóa, đảm bảo rằng người dùng thực sự muốn thực hiện lệnh đó.
- Tận dụng dữ liệu mạng lưới: Các kiểm tra đơn lẻ không còn đủ hiệu quả. Việc phân tích các mô hình gian lận trên quy mô lớn—kết hợp dữ liệu từ thiết bị, tài liệu và mạng lưới—sẽ giúp phát hiện sớm các cuộc tấn công phối hợp.
- Tuân thủ quy định: Các khung pháp lý như eIDAS 2.0 và DORA đang thúc đẩy tiêu chuẩn xác thực cao hơn, buộc các doanh nghiệp phải loại bỏ các yếu tố xác thực dễ bị tổn thương như SMS-OTP.
Lời khuyên cho doanh nghiệp: Hãy biến xác thực không mật khẩu (passwordless) và kiểm tra sự hiện diện sinh trắc học (biometric liveness) thành yêu cầu bắt buộc. Đồng thời, cần coi các quy trình khôi phục tài khoản là những sự kiện có rủi ro cao, đòi hỏi sự giám sát chặt chẽ tương đương với quy trình khởi tạo tài khoản ban đầu.
Nguồn tham khảo: The Hacker News



No Comment! Be the first one.