Được xuất bản vào ngày 28 tháng 2 năm 2026, 2:30 chiều EST
Gavin là Trưởng nhóm phân khúc cho các ngành dọc Giải thích công nghệ, Bảo mật, Internet, Phát trực tuyến và Giải trí, từng là người đồng dẫn chương trình Podcast Thực sự Hữu ích và là người thường xuyên đánh giá sản phẩm. Anh ấy có bằng về Viết văn đương đại được lấy từ những ngọn đồi ở Devon, hơn một thập kỷ kinh nghiệm viết lách chuyên nghiệp và tác phẩm của anh ấy đã xuất hiện trên How-To Geek, Expert Reviews, Trusted Reviews, Online Tech Tips và Help Desk Geek, cùng nhiều trang khác. Gavin đã tham dự CES, IFA, MWC và các triển lãm thương mại công nghệ khác để báo cáo trực tiếp tại sàn, thực hiện hàng trăm nghìn bước trong quy trình này. Anh ấy đã xem xét nhiều tai nghe, tai nghe nhét tai và bàn phím cơ hơn những gì anh ấy muốn nhớ và thích rất nhiều trà, trò chơi trên bàn và bóng đá.
Hầu hết các vụ lừa đảo trực tuyến vẫn xoay quanh một mục tiêu:đánh cắp mật khẩu của bạn. Chúng tôi được đào tạo để phát hiện các trang đăng nhập giả mạo, các liên kết đáng ngờ và các email khẩn cấp yêu cầu chúng tôi "xác minh" thông tin xác thực tài khoản của mình.
Nhưng làn sóng tấn công tài khoản Microsoft mới lại hoạt động khác. Nạn nhân đăng nhập vào trang web thực của Microsoft, sử dụng các biện pháp kiểm tra bảo mật thực và thậm chí hoàn thành thành công xác thực đa yếu tố—nhưng những kẻ tấn công vẫn có được quyền truy cập.
Kỹ thuật này được gọi là lừa đảo mã thiết bị , hoàn toàn không đánh cắp mật khẩu của bạn. Thay vào đó, nó lừa bạn tự cấp quyền truy cập bằng cách sử dụng hệ thống xác thực của chính Microsoft đúng như thiết kế.
Đăng nhập bằng mã thiết bị thực sự rất hữu ích
Chắc hẳn bạn đã từng sử dụng nó nhiều lần
Microsoft, giống như các công ty công nghệ lớn khác, hỗ trợ một thứ gọi là luồng ủy quyền thiết bị , còn được gọi phổ biến hơn là đăng nhập bằng mã thiết bị. Nhưng phổ biến hơn thế, đó là thời điểm mà thay vì một trang đăng nhập đầy đủ, bạn được hiển thị mã đăng nhập trùng khớp trên các thiết bị của mình mà bạn phải khớp hoặc nhập để hoàn tất quá trình đăng nhập.
Nó thực sự tiện dụng, đặc biệt là trên các thiết bị không thể dễ dàng hiển thị trang đăng nhập đầy đủ hoặc các phiên bản khi bạn kết nối với một thiết bị có mức sử dụng hạn chế. Ví dụ:bạn có thể đã gặp những điều này trên TV thông minh hoặc khi kết nối với TV trong phòng khách sạn — cả hai đều là những ví dụ điển hình.
Trong hầu hết các trường hợp, quá trình này hoàn toàn an toàn và không có gì nguy hiểm. Nhưng tất cả điều đó sẽ thay đổi với một cách khai thác cụ thể.
Liên quan
Phương thức bảo mật phổ biến này thực tế không ngăn được tin tặc
Mặc dù chúng được sử dụng ở mọi nơi nhưng không phải lúc nào chúng cũng phát huy tác dụng.
Các tính năng hợp pháp có thể được sử dụng để chống lại bạn
Nó khai thác một giả định chung
Đăng nhập mã thiết bị cực kỳ hữu ích. Tuy nhiên, nó có thể bị khai thác vì quá trình đăng nhập thiết bị đương nhiên cho rằng người nhập mã đã thực hiện yêu cầu. Đó là một phần trong đó quá trình bị hỏng.
Nếu kẻ tấn công biết địa chỉ email của bạn hoặc một phần dữ liệu liên hệ đã biết khác, chúng có thể bắt đầu yêu cầu đăng nhập thiết bị từ thiết bị của chính chúng, bắt đầu một phiên duy nhất. Sau đó, Microsoft (và các công ty công nghệ khác) tạo mã thiết bị hợp pháp gắn liền với phiên đó.
Đây là nơi nó trở nên khó khăn. Thay vì cố gắng tự sử dụng mã đó, kẻ tấn công có thể gửi mã trực tiếp cho bạn, được ngụy trang dưới dạng một quy trình khác, trong đó có nhiều quy trình sử dụng các chiến thuật lừa đảo quen thuộc:
- Cảnh báo bảo mật xác nhận hoạt động đáng ngờ
- Thông báo khẩn cấp của Microsoft 365
- Tin nhắn từ Teams hoặc tin nhắn hỗ trợ CNTT
- Yêu cầu kinh doanh hoặc email khác
Yêu cầu hướng dẫn bạn truy cập trang đăng nhập chính thức của Microsoft và nhập mã được cung cấp để “bảo mật” hoặc “xác minh” tài khoản của họ. Đây là lúc giai đoạn khai thác tiếp theo bắt đầu. Bạn không truy cập trang đăng nhập giả mạo hoặc cổng lừa đảo được thiết kế thông minh:đó là trang đăng nhập thực của Microsoft và quá trình kiểm tra xác thực là có thật.
Bạn cung cấp thông tin đăng nhập mã thiết bị như bình thường, phê duyệt yêu cầu và cảm thấy như bạn đã bảo vệ được tài khoản của mình. Nhưng trên thực tế, bạn đã xác thực kẻ tấn công, trao chìa khóa tài khoản của bạn trong quá trình này.
Trong toàn bộ quá trình, mật khẩu của bạn không bao giờ bị lộ mà bạn đã trực tiếp bàn giao tài khoản của mình.
Tại sao lừa đảo đăng nhập bằng mã thiết bị lại hoạt động hiệu quả đến vậy
Tất cả chỉ là bắt chước
Nhà cung cấp dịch vụ: Microsoft Vấn đề lớn nhất với các trò lừa đảo đăng nhập bằng mã thiết bị là nó né tránh hầu hết các chiến thuật lừa đảo truyền thống. Lừa đảo thường liên quan đến trang đăng nhập nhân bản, trang đăng nhập trông giống hoặc hệ thống chặn thông tin xác thực.
Trong khi đó, trò lừa đảo lừa đảo đăng nhập bằng mã thiết bị bỏ qua tất cả những điều đó, khiến mọi thứ xuất hiện rõ ràng và hợp pháp. Chà, thậm chí còn không làm cho nó xuất hiện "ở trên" - thực tế là như vậy khi bạn đang tương tác với quy trình xác thực của Microsoft. Toàn bộ trò lừa đảo này hoạt động hiệu quả vì tất cả các quy trình đều hoạt động chính xác như bình thường; nó chỉ hơi đảo ngược với bạn thôi.
Vậy kẻ tấn công có thể nhận được gì với mã thông báo truy cập của bạn?
Xác thực kẻ tấn công rõ ràng là một tình huống xấu
Sau khi quá trình xác thực hoàn tất, Microsoft sẽ phát hành mã thông báo truy cập, có chức năng giống như bằng chứng tạm thời cho thấy thông tin đăng nhập đã được xác minh. Về mặt chức năng, hệ thống giả định chủ sở hữu đã chứng minh danh tính của họ, do đó, hệ thống cho phép truy cập mà không cần yêu cầu thông tin xác thực nhiều lần.
Sau đó, câu trả lời cho những gì kẻ tấn công có thể có được thực sự phụ thuộc vào tài khoản được nhắm mục tiêu. Ví dụ:nếu tài khoản Outlook của bạn bị nhắm mục tiêu, kẻ tấn công có thể truy cập vào email của bạn, sau đó bằng tiện ích mở rộng, các dịch vụ khác được liên kết với địa chỉ (bằng cách đặt lại mật khẩu, truy cập mã 2FA, v.v.).
Nhưng nếu thông tin đăng nhập Teams của bạn bị nhắm mục tiêu, kẻ tấn công có thể xâm nhập vào tài khoản Teams của công ty bạn và có quyền truy cập vào dữ liệu được lưu giữ ở đó.
Liên quan
Vậy bạn làm cách nào để bảo vệ khỏi lừa đảo mã thiết bị?
Cảnh giác liên tục, không ngừng nghỉ
Cuối cùng, cách bảo vệ tốt nhất chống lại các cuộc tấn công đăng nhập thiết bị bằng mã là thực sự cố gắng hiểu cách đăng nhập thiết bị thực sự hoạt động. Ngay cả mức hiểu biết cơ bản về quy trình đăng nhập thiết bị cũng sẽ bảo vệ bạn trước cuộc tấn công lừa đảo này.
Tóm lại, mã đăng nhập thiết bị chỉ xuất hiện khi bạn tự mình bắt đầu đăng nhập trên thiết bị khác. Microsoft sẽ không ngẫu nhiên gửi cho bạn mã để bảo mật tài khoản của bạn, tương tự như cách hãng sẽ không bao giờ nhắn tin cho bạn yêu cầu mật khẩu, để xác nhận mã 2FA, v.v.
Đây không chỉ là Microsoft, nhớ nhé. Không có công ty nào, dù là công nghệ hay không, nên hỏi bạn thông tin này. Nó riêng tư và chỉ dành cho bạn.
Trong hầu hết các trường hợp, bạn có thể tuân theo các quy tắc bảo mật phổ biến để phát hiện các hành vi lừa đảo:
- Không bao giờ nhập mã đăng nhập được gửi qua email, trò chuyện hoặc tin nhắn văn bản.
- Xử lý các yêu cầu xác thực không mong muốn giống như cách bạn xử lý yêu cầu mật khẩu.
- Nếu bạn nhận được lời nhắc MFA không phải do bạn kích hoạt, hãy từ chối nó ngay lập tức.
- Thường xuyên xem lại hoạt động đăng nhập của Microsoft để phát hiện các ứng dụng hoặc phiên lạ.
Hãy nhớ rằng, mã xác thực là quyền chứ không phải các bước xác minh. Nếu bạn không bắt đầu quá trình này thì người khác đã làm.