Thay đổi lớn của Gmail giúp người dùng tránh bị lừa đảo

Theo Yahoo Tech, việc nhận mã bảo mật qua tin nhắn SMS để truy cập vào tài khoản Gmail sẽ sớm được loại bỏ, khi Google lên kế hoạch chuyển sang hình thức xác thực hai yếu tố (2FA) khác.

Theo đó, gã khổng lồ tìm kiếm đang chuẩn bị ngừng sử dụng phương pháp "gửi tin nhắn SMS xác thực" và thay thế bằng mã QR. Lý do cho sự thay đổi này đến từ hai nguyên nhân: mã SMS không chỉ kém an toàn mà còn tạo điều kiện cho tội phạm mạng lạm dụng dịch vụ của Google.

Quyết định này có ý nghĩa rất lớn trong bối cảnh tội phạm mạng toàn cầu ngày càng gia tăng. Phát ngôn viên Gmail, ông Ross Richendrfer, so sánh việc này với việc chuyển từ mật khẩu sang khóa truy cập (passkeys) trong một tuyên bố với giới báo chí.

Hiện, Gmail chưa xác định thời điểm thay đổi chính thức có hiệu lực, tuy nhiên ông Richendrfer xác nhận rằng, kế hoạch sẽ được triển khai trong vài tháng tới. Giống như mọi thay đổi lớn khác, tính năng sẽ được thử nghiệm với một số người dùng Gmail trước khi áp dụng rộng rãi.

VẤN ĐỀ VỚI XÁC THỰC SMS

Đối với bảo mật, những nguy cơ do SMS gây ra là khá lớn. Dù trên Android hay IOS, tin tặc thường sử dụng phần mềm độc hại cài đặt trên điện thoại người dùng để chặn mã SMS. Với mã SMS và mật khẩu trong tay, chúng có thể chiếm quyền kiểm soát tài khoản trực tuyến ngay lập tức.

Đồng thời, giống như một số dữ liệu nhạy cảm khác, mã SMS cũng có thể bị đánh cắp trong cuộc tấn công lừa đảo.

Ngoài ra, có một cách tinh vi hơn để tin tặc có mã SMS của người dùng. Thông qua quá trình có tên "SIM swapping" (hoán đổi sim), kẻ xấu có thể lừa nhà cung cấp dịch vụ di động, chuyển số điện thoại người dùng sang thẻ SIM của họ. Điều này cho phép tin tặc chặn mã SMS và một lần nữa, sử dụng chúng để chiếm quyền kiểm soát tài khoản.

Cuối cùng, nhược điểm lớn khác khi sử dụng mã SMS để xác thực là người dùng có thể không còn quyền truy cập vào thiết bị hoặc số điện thoại mà mã gửi đến. Điều này khiến bạn không thể đăng nhập vào mọi tài khoản của mình.

CÁCH MÃ QR HOẠT ĐỘNG TRONG GMAIL

Sau khi thay đổi được triển khai, người dùng không thể sử dụng mã SMS để truy cập vào tài khoản Gmail nữa. Thay vào đó, một mã QR sẽ hiển thị trên máy tính hoặc laptop, và bạn cần quét mã này bằng ứng dụng camera trên điện thoại để truy cập tài khoản Gmail.

Trong quá khứ, chúng ta thường thấy mã QR bị lạm dụng trong các cuộc tấn công mạng, nhưng cách sử dụng mã QR lần này tương tự như cách chúng được sử dụng với khóa truy cập.

Theo Google, sự thay đổi này giúp người dùng Gmail an toàn hơn trước các cuộc tấn công lừa đảo, nơi tin tặc lừa người dùng chia sẻ mã bảo mật. Ngay cả khi người dùng bị lừa chia sẻ mã QR hiển thị trên tài khoản Gmail (theo nghiên cứu, người dùng khó có thể bị lừa như vậy), một mã mới sẽ được tạo ra cho mỗi thiết bị và cho mỗi lần đăng nhập.

Việc chuyển sang mã QR cũng giúp người dùng Gmail ít phụ thuộc vào nhà cung cấp dịch vụ di động, từ đó bảo vệ tài khoản khỏi hành vi lừa đảo tốt hơn.

Thay đổi lớn của Gmail chắc chắn sẽ cần thời gian để làm quen nếu bạn vẫn đang sử dụng mã SMS để xác thực. Cần lưu ý rằng bạn có thể đang sử dụng thiết bị tin cậy như điện thoại hoặc máy tính bảng để đăng nhập vào tài khoản mà không cần nhập mã xác thực mỗi lần đăng nhập.

ĐỘNG THÁI CẦN THIẾT

Google không phải là công ty duy nhất bỏ SMS và chuyển sang xác thực hai yếu tố. Năm ngoái, Evernote loại bỏ SMS khỏi dịch vụ công ty, và ứng dụng nhắn tin bảo mật Signal cũng thực hiện kế hoạch tương tự từ năm 2022. X, Apple và Microsoft đều không sử dụng phương pháp xác thực bằng SMS. Google được cho là bắt đầu chuyển đổi khỏi SMS từ đầu năm 2017.

“Việc Google bỏ đăng nhập qua SMS là bước đi thông minh về mặt bảo mật, mặc dù ban đầu có thể gây bất tiện nhưng rất cần thiết để tài khoản an toàn”, ông Amy Bunn, một người ủng hộ an toàn trực tuyến tại McAfee, cho biết.

Giới chuyên gia khẳng định động thái này không bất ngờ và có lẽ cần thiết đối với Google.

Ông Rob Allen, Giám đốc Sản phẩm tại công ty bảo mật ThreatLocker, cho biết xác thực qua SMS là “phương thức kém ưa chuộng nhất”. “Mặc dù chắc chắn tốt hơn là không có 2FA, nhưng nó rõ ràng là phương thức kém an toàn nhất”.

Ông Allen nói thêm việc sử dụng ứng dụng xác thực trên điện thoại di động là cách an toàn hơn rất nhiều để sử dụng xác thực hai yếu tố. “Thật tốt khi thấy mọi công ty đang chuyển hướng đến môi trường an toàn hơn”.