Khi nói đến an toàn số, thiết lập thêm một lớp bảo mật cho tài khoản luôn được khuyến nghị. Ý tưởng đằng sau cách tiếp cận này, gọi là xác thực đa yếu tố (MFA), là đảm bảo kẻ xấu phải vượt qua một bước xác minh thứ hai để vào tài khoản, ngay cả khi chúng đã có mật khẩu của bạn. Lớp xác thực thứ hai này có thể là SMS với mật khẩu một lần, email bảo mật, passkey nội bộ, quét sinh trắc học, hoặc thậm chí khóa bảo mật vật lý. Nghiên cứu của Microsoft cho thấy MFA có thể giảm khả năng tài khoản bị xâm nhập xuống 99,22% nói chung, và 98,56% nếu thông tin đăng nhập đã bị lộ.
Tuy nhiên, có vẻ MFA không phải giải pháp “chống đạn”, với nhiều trường hợp tin tặc vượt qua được nó. Ví dụ, vào tháng 12 năm 2025, các chuyên gia bảo mật tại Infoblox được thông báo rằng kẻ xấu đang nhắm vào các cơ sở giáo dục. Cụ thể, chúng tấn công cổng đăng nhập một lần (SSO) của sinh viên bằng cách dùng một công cụ mã nguồn mở tên Evilginx.
Evilginx là một công cụ phishing về bản chất dùng chiến thuật “người đứng giữa” (MITM), nơi kẻ tấn công có thể chặn liên lạc giữa thiết bị người dùng và dịch vụ họ đang truy cập. Đây là chiêu nghe lén cho phép tin tặc đánh cắp mọi thứ, từ thông tin đăng nhập đến dữ liệu tài chính, và chúng đã dùng nó chống lại 18 cơ sở trong riêng năm 2025. Vụ hack Equifax khét tiếng năm 2017 là một cuộc tấn công MITM đã phơi bày dữ liệu của hơn 150 triệu khách hàng, và ngay cả các ông lớn công nghệ như Tesla cũng từng bị nhắm bằng cùng chiến thuật.
Có Nên Lo Lắng?
Năm 2024, các chuyên gia tại Abnormal.ai nêu bật cách các tác nhân đe dọa dùng Evilginx để nhắm vào các dịch vụ phổ biến như Outlook và Gmail. Một trong những yếu tố nguy hiểm nhất của Evilginx là nó mã nguồn mở, khiến công cụ này phổ biến rộng rãi và dễ bị tin tặc chỉnh sửa. Một luồng tấn công mục tiêu liên quan đến giả mạo trang web ngân hàng, cho phép tin tặc thu thập cookie phiên. Khi có được, chúng có thể dùng thông tin đăng nhập để giả danh nạn nhân trên trang web ngân hàng thực.
Nhưng Evilginx không phải mối đe dọa duy nhất đối với xác thực đa yếu tố. Có những cách ít tinh vi hơn để phá vỡ nó. Kỹ nghệ xã hội (phishing), nơi kẻ xấu giả mạo dịch vụ hợp pháp để lừa người dùng chia sẻ dữ liệu đăng nhập nhạy cảm, hiện khá phổ biến. SIM swapping cũng có thể là cách mạnh để vượt MFA, đặc biệt nếu mã xác thực của bạn đến qua SMS hoặc cuộc gọi. Cũng có nguy cơ tin tặc lắp thiết bị đọc trộm (skimmer) để đánh cắp dấu vân tay từ máy yêu cầu mở khóa sinh trắc học để xử lý thanh toán hoặc xác minh danh tính.
Vậy làm sao để an toàn trong thời đại mà MFA có thể bị vượt qua? Các chuyên gia tại Experian khuyến nghị dùng ứng dụng quản lý mật khẩu, hoặc khóa vật lý đạt chứng nhận FIDO (như Google Titan hoặc các khóa của Yubico). Theo Cơ Quan An Ninh Mạng & Hạ Tầng Hoa Kỳ (CISA), “hình thức xác thực chống phishing duy nhất phổ biến rộng rãi là FIDO/WebAuthn.” Do đó, nếu khóa bảo mật vật lý dựa trên FIDO là ngoài khả năng, bạn sẽ cần giải pháp WebAuthn, chẳng hạn passkey. May mắn là các công ty như Google, Microsoft và Apple đều đã triển khai passkey, giúp việc áp dụng trở nên dễ dàng.
