Ảnh minh họa (Nguồn: Internet)
Trong bối cảnh tội phạm mạng sử dụng phương thức lừa đảo ngày càng tinh vi, những kỹ thuật như SIM-swap (chiếm quyền số điện thoại), mã độc thu thập dữ liệu sinh trắc, hay deepfake (giả giọng nói và khuôn mặt) đã khiến các lớp bảo mật truyền thống trở nên mong manh.
Mã OTP không còn an toàn tuyệt đối
Mã OTP từng được xem là giải pháp bảo mật tiện lợi và phổ biến nhất, nhưng chính sự tiện lợi ấy cũng biến nó thành mục tiêu ưa thích của tội phạm mạng. Một trong những chiêu trò phổ biến là SIM-swap, khi kẻ gian lừa nhà mạng chuyển số điện thoại của nạn nhân sang SIM mới, nhờ đó họ có thể nhận và sử dụng mọi mã OTP gửi đến.
Báo cáo của Cơ quan An ninh Mạng và Cơ sở Hạ tầng Mỹ (CISA) cùng Cục Điều tra Liên bang Mỹ (FBI) cho thấy, trong năm 2024, nhiều vụ chiếm quyền SIM đã khiến nạn nhân mất quyền truy cập vào tài khoản ngân hàng, mạng xã hội và các dịch vụ quan trọng.
Ngoài ra, hình thức phishing, giả mạo website hoặc ứng dụng, cũng khiến nạn nhân vô tình trao quyền truy cập cho kẻ xấu. Khi người dùng nhập OTP vào các giao diện giả mạo, chỉ trong vài giây, kẻ tấn công có thể chiếm toàn bộ tài khoản.
Theo The Hacker News, các phương thức xác thực đa yếu tố truyền thống như OTP qua SMS không còn đảm bảo an toàn, bởi tội phạm ngày càng tinh vi trong việc kết hợp SIM-swap, phishing và các hình thức tấn công trung gian.
Xác thực sinh trắc học cũng bị “đánh lừa”
Ngay cả khi sử dụng xác thực bằng khuôn mặt, giọng nói hay vân tay, người dùng vẫn không thể hoàn toàn yên tâm. Công nghệ deepfake hiện nay có thể tạo ra hình ảnh và giọng nói giả mạo cực kỳ giống thật, đủ để qua mặt các hệ thống nhận diện sinh trắc học.
Báo cáo của Europol năm 2025 chỉ ra rằng mặc dù các hệ thống sinh trắc học tương đối mạnh, nhưng vẫn tồn tại những phương thức tấn công như mặt nạ, vân tay nhân tạo hay deepfake, có thể đánh lừa hệ thống.
Mật khẩu cũng trở nên mong manh
Mật khẩu từng là phương thức bảo vệ cơ bản cho các tài khoản trực tuyến, nhưng ngày nay chúng không còn đủ mạnh để chống lại các cuộc tấn công tinh vi. Theo Báo cáo Điều tra Vi phạm Dữ liệu của Verizon 2024, hơn 80% các vụ vi phạm liên quan đến tài khoản xuất phát từ mật khẩu bị lộ, bị đoán hoặc bị sử dụng lại trên nhiều dịch vụ.
Việc dùng cùng một mật khẩu cho nhiều nền tảng khiến người dùng trở thành mục tiêu dễ dàng cho tội phạm mạng thông qua các phương pháp như tấn công nhồi nhét thông tin đăng nhập hay dò mật khẩu.
Trong bối cảnh các cuộc tấn công mạng ngày càng tinh vi, người dùng không thể chỉ dựa vào mật khẩu, OTP hay sinh trắc học để bảo vệ dữ liệu. Việc duy trì thói quen cảnh giác và kiểm tra bảo mật thường xuyên, kết hợp với các công cụ công nghệ hiện đại, là điều cần thiết để xây dựng lớp phòng thủ hiệu quả.
Theo CISA, việc triển khai xác thực đa yếu tố (MFA) có thể giảm hơn 99% nguy cơ bị tấn công nếu kết hợp với kiểm soát truy cập chặt chẽ. Đồng thời, quản lý và giám sát các nền tảng truy cập liên tục, nhằm giảm thiểu rủi ro lừa đảo mạng.
