Ngày đăng: 19/12/2024 09:03

Hoán đổi SIM cho phép tin tặc đánh cắp số điện thoại của bạn

Một trong những rủi ro đáng báo động nhất khi sử dụng SMS cho 2FA là hoán đổi SIM, một kỹ thuật mà kẻ tấn công lừa nhà cung cấp dịch vụ di động chuyển số điện thoại của bạn sang thẻ SIM mới. Sau khi kiểm soát được số của bạn, chúng có thể chặn mọi tin nhắn SMS được gửi đến số đó.

Cách thức hoạt động như sau: Kẻ tấn công liên hệ với nhà mạng di động của bạn, giả vờ là bạn. Sử dụng thông tin cá nhân bị đánh cắp - chẳng hạn như địa chỉ hoặc bốn chữ số cuối của số An sinh xã hội - chúng thuyết phục nhà cung cấp chuyển số điện thoại của bạn sang thẻ SIM của chúng. Sau khi quá trình chuyển đổi này hoàn tất, kẻ tấn công sẽ chặn các tin nhắn văn bản được gửi đến số của bạn, bao gồm cả mã 2FA nhằm bảo vệ tài khoản.

Thiệt hại không dừng lại ở đó. Nhiều người trong chúng ta liên kết số điện thoại của mình với nhiều tài khoản, từ email, mạng xã hội đến các ứng dụng ngân hàng. Việc hoán đổi SIM thành công có thể cấp cho kẻ tấn công quyền truy cập vào nhiều tài khoản được liên kết với số điện thoại của bạn, từ email đến các ứng dụng ngân hàng. Hướng dẫn trước đây của Quantrimang.com về hoán đổi thẻ SIM là gì và cách tự bảo vệ mình có thể giúp bạn tránh được trò lừa đảo ngày càng phổ biến này.

Tin nhắn SMS có thể bị chặn

Ngay cả khi bạn tránh được việc bị hoán đổi SIM, bản thân tin nhắn SMS vẫn không an toàn. Chúng đi qua các mạng có thể dễ bị chặn. Tin tặc có thể khai thác điểm yếu trong Signaling System No. 7 (SS7), giao thức viễn thông toàn cầu cho phép các nhà mạng định tuyến cuộc gọi và tin nhắn. Bằng cách khai thác SS7, kẻ tấn công có thể chặn tin nhắn SMS mà không cần truy cập vào điện thoại thực của bạn.

Đây không chỉ là lý thuyết; hack SIM là một vấn đề đã từng xảy ra. Tội phạm mạng và thậm chí một số nhóm do nhà nước tài trợ đã sử dụng lỗ hổng SS7 để do thám thông tin liên lạc và đánh cắp thông tin nhạy cảm. Vì SMS không được mã hóa nên nội dung tin nhắn, bao gồm cả mật mã một lần, sẽ bị lộ trong quá trình truyền.

Một cách khác để tin nhắn bị xâm phạm là thông qua các ứng dụng độc hại hoặc phần mềm gián điệp được cài đặt trên thiết bị của bạn. Các chương trình này có thể theo dõi tin nhắn SMS đến của bạn và chuyển tiếp mã 2FA cho kẻ tấn công mà bạn không biết.

SMS được liên kết với số điện thoại của bạn

Một nhược điểm đáng kể khác của 2FA dựa trên SMS là nó phụ thuộc vào số điện thoại của bạn. Khả năng nhận mã được liên kết trực tiếp với dịch vụ di động của bạn. Nếu bạn ở khu vực có sóng kém, 2FA dựa trên SMS sẽ trở nên hoàn toàn vô dụng, ngay cả khi có Wi-Fi. Không giống như các phương pháp xác thực khác có thể hoạt động qua kết nối Internet, SMS yêu cầu tín hiệu di động ổn định.

Sự phụ thuộc này có thể khiến bạn bị mắc kẹt trong những tình huống cần truy cập vào tài khoản của mình nhưng không thể nhận được mã. Cho dù đang đi du lịch ở một địa điểm xa xôi hay chỉ đơn giản là trong một tòa nhà có sóng kém, thì hạn chế này khiến SMS kém tin cậy hơn các phương pháp thay thế.

Lựa chọn thay thế: Ứng dụng xác thực

Thay vì dựa vào SMS để xác thực 2FA, hãy chuyển sang các ứng dụng xác thực 2FA. Các ứng dụng như Google Authenticator, Microsoft Authenticator và Authy tạo mật khẩu một lần theo thời gian (TOTP) trực tiếp trên thiết bị của bạn, cung cấp giải pháp thay thế an toàn và đáng tin cậy hơn nhiều cho SMS.

Ưu điểm lớn đầu tiên của các ứng dụng xác thực là bảo mật. Không giống như SMS, các ứng dụng này tạo mã cục bộ trên điện thoại của bạn, nghĩa là chúng không được truyền qua mạng có thể bị chặn hoặc khai thác. Chúng cũng được bảo vệ bằng các lớp bảo mật bổ sung - nhiều ứng dụng yêu cầu mật mã, dấu vân tay hoặc quét khuôn mặt để truy cập mã.

Một lý do khác khiến mọi người thích các ứng dụng xác thực là chức năng ngoại tuyến của chúng. Vì các mã được tạo trực tiếp trên thiết bị nên bạn không cần kết nối di động để sử dụng chúng. Cho dù bạn ở vùng xa không có dịch vụ hay chỉ ở trong nhà có sóng kém, bạn vẫn có thể truy cập mã của mình miễn là bạn có thiết bị.

Mọi người thích Authy hơn các ứng dụng xác thực khác vì nó cung cấp bản sao lưu đám mây, giúp bạn dễ dàng khôi phục tài khoản nếu làm mất điện thoại. Đồng thời, nó bảo mật các bản sao lưu này bằng mã hóa, đảm bảo rằng chỉ bạn mới có thể truy cập chúng. Google Authenticator là một lựa chọn phổ biến khác. Cả hai tùy chọn đều miễn phí, được hỗ trợ rộng rãi và dễ thiết lập.

Sử dụng ứng dụng xác thực rất đơn giản. Sau khi thiết lập, thường là bằng cách quét mã QR do trang web cung cấp trong quá trình thiết lập 2FA, bạn chỉ cần mở ứng dụng để truy cập mã bất cứ khi nào bạn đăng nhập. Mã được làm mới sau mỗi 30 giây, vì vậy ngay cả khi ai đó đánh cắp được một mã, mã đó cũng trở nên vô dụng ngay lập tức.

Xác thực hai yếu tố là điều cần thiết để giữ an toàn cho tài khoản của bạn, nhưng phương pháp bạn sử dụng mới là vấn đề quan trọng. Mặc dù 2FA dựa trên SMS có vẻ tiện lợi, nhưng nó lại chứa đầy lỗ hổng - từ việc hoán đổi SIM đến các phương pháp chặn và thậm chí là các vấn đề thực tế như sóng di động kém. Những rủi ro này khiến SMS trở thành biện pháp bảo vệ không đáng tin cậy cho bảo mật trực tuyến của bạn.