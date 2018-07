Xuất hiện phương thức chiếm quyền kiểm soát SMS và SIM số từ xa

(Dân Việt) Phương pháp này được gọi là Port Out Scam và đang khiến ngành công nghiệp di động cảm thấy… đau đầu.

Tội phạm có thể lấy cắp số điện thoại của bạn bằng cách giả vờ là bạn, sau đó chuyển số của bạn sang một điện thoại khác. Sau đó chúng sẽ nhận được mã bảo mật gửi qua SMS trên điện thoại của chúng, từ đó có quyền truy cập vào tài khoản ngân hàng của bạn và các dịch vụ bảo mật khác.

Port Out Scam là gì?

Port Out Scam là một vấn đề lớn cho toàn bộ ngành công nghiệp di động. Trong lừa đảo này, một tội phạm giả vờ là bạn và di chuyển số điện thoại hiện tại của bạn đến một nhà cung cấp dịch vụ di động khác. Quá trình này được gọi là “chuyển đổi” và được thiết kế để cho phép bạn giữ số điện thoại của mình khi chuyển sang nhà cung cấp dịch vụ di động mới. Bất kỳ tin nhắn văn bản và cuộc gọi đến số điện thoại của bạn sau đó được gửi đến điện thoại mới.

Đây là một vấn đề lớn vì nhiều tài khoản trực tuyến, bao gồm cả tài khoản ngân hàng có sử dụng số điện thoại của bạn làm phương thức xác thực hai yếu tố. Các dịch vụ này sẽ không cho phép bạn đăng nhập mà không gửi mã tới điện thoại của bạn trước tiên. Nhưng sau khi lừa đảo chuyển đổi diễn ra, tội phạm sẽ nhận được mã bảo mật trên điện thoại của chúng, từ đó có thể truy cập vào tài khoản tài chính của bạn và các dịch vụ nhạy cảm khác.

Tất nhiên, loại tấn công này là nguy hiểm nhất nếu kẻ tấn công đã có quyền truy cập vào các tài khoản khác của bạn. Nó cho phép kẻ tấn công bỏ qua các tin nhắn bảo mật dựa trên SMS được thiết kế để bảo vệ bạn trong tình huống này.

Về cơ bản, cuộc tấn công này còn được gọi là tấn công SIM, vì nó di chuyển số điện thoại của bạn từ thẻ SIM hiện tại sang thẻ SIM của kẻ tấn công.

Lừa đảo hoạt động ra sao?

Lừa đảo này có rất nhiều điểm chung với hành vi trộm cắp danh tính. Người nào đó có thông tin cá nhân của bạn giả vờ là bạn, yêu cầu nhà cung cấp dịch vụ di động di chuyển số điện thoại của bạn sang điện thoại mới. Nhà cung cấp dịch vụ di động sẽ yêu cầu họ cung cấp một số thông tin cá nhân để xác định chủ nhân, nhưng thường số an sinh xã hội hoặc chứng minh thư là đủ. Trong một thế giới hoàn hảo, số an sinh xã hội của bạn sẽ là riêng tư, nhưng như đã biết rất nhiều số an sinh xã hội đã bị rò rỉ do vi phạm an ninh tại nhiều doanh nghiệp lớn.

Nếu người đó có thể đánh lừa thành công nhà cung cấp dịch vụ di động của bạn, quá trình chuyển đổi sẽ diễn ra và mọi tin nhắn SMS được gửi đến bạn và các cuộc gọi điện thoại dành cho bạn sẽ được chuyển đến điện thoại của họ. Số điện thoại của bạn được liên kết với điện thoại của họ và điện thoại hiện tại của bạn sẽ không còn gọi điện thoại, nhắn tin hoặc truy cập dữ liệu di động nữa.

Đây được xem là một biến thể của cuộc tấn công kỹ thuật xã hội. Ai đó gọi một công ty giả vờ là một người khác và sử dụng kỹ thuật xã hội để có quyền truy cập vào thứ họ không nên có. Giống như các công ty khác, các nhà cung cấp dịch vụ di động muốn mọi thứ trở nên dễ dàng nhất có thể cho khách hàng hợp pháp, vì vậy bảo mật của họ có thể không đủ chặt chẽ để chống lại tất cả những kẻ tấn công.

Cách dừng Port Out Scam

Theo khuyến cáo, bạn nên đảm bảo đã đặt mã PIN an toàn với nhà cung cấp dịch vụ di động của mình. Mã PIN này sẽ được yêu cầu khi chuyển số điện thoại. Nhiều nhà mạng trước đây chỉ sử dụng bốn chữ số cuối cùng trong dãy số an sinh xã hội của bạn làm mã PIN, khiến cho việc lừa đảo trở nên dễ dàng hơn nhiều. Hãy kiểm tra trang web nhà cung cấp dịch vụ của bạn hoặc liên hệ với dịch vụ khách hàng để tìm hiểu cách bảo vệ tài khoản của bạn.

Thật không may, có nhiều cách khác nhau để làm việc với mã bảo mật này. Ví dụ với nhiều nhà cung cấp dịch vụ, kẻ tấn công truy cập vào tài khoản trực tuyến của bạn có thể thay đổi mã PIN bằng cách chọn lựa chọn “Tôi đã quên mã PIN của mình” để đặt lại mã PIN nếu chúng biết đủ thông tin cá nhân. Nhà mạng cần phải có cách để những người quên mã PIN đặt lại chúng. Nhưng trước cuộc tấn công nói trên, các nhà mạng đang dần tăng cường an ninh, trong đó các nhà mạng Mỹ gồm AT&T, Sprint, T-Mobile và Verizon đang hợp tác với nhau về một thứ gọi là “Mobile Authentication Taskforce” để chống các hành vi lừa đảo và các loại gian lận khác.

Tránh dựa vào số điện thoại làm phương thức bảo mật

Port Out Scam là một trong những lý do khiến bạn nên tránh bảo mật 2 bước dựa trên SMS khi có thể. Tất cả chúng ta đều muốn nghĩ rằng số điện thoại của mình hoàn toàn nằm dưới sự kiểm soát của bản thân và chỉ liên quan đến điện thoại mà mình sở hữu. Trong thực tế điều đó không đúng, bởi khi dựa vào số điện thoại, bạn đang dựa vào dịch vụ khách hàng của nhà cung cấp dịch vụ di động để bảo vệ số điện thoại của mình và ngăn kẻ tấn công lấy cắp nó.

Thay vì nhận mã bảo mật được gửi qua tin nhắn văn bản, bạn nên sử dụng các phương pháp bảo mật 2 yếu tố khác, như ứng dụng Authy để tạo mã. Các ứng dụng này tạo mã trên điện thoại của bạn, vì vậy một kẻ gian muốn tấn công thì cần phải có điện thoại của bạn và mở khóa điện thoại để nhận mã bảo mật.

Rất tiếc, nhiều dịch vụ trực tuyến yêu cầu bạn phải sử dụng xác minh qua SMS với số điện thoại và không cung cấp tùy chọn khác. Ngay cả khi dịch vụ cung cấp tùy chọn khác, họ có thể cho phép bạn gửi mã tới số điện thoại của bạn làm phương thức dự phòng. Về cơ bản bạn gần như không thể tránh mã SMS.

Như với tất cả mọi thứ trong cuộc sống, nó không thể hoàn toàn tự bảo vệ mình. Tất cả những gì bạn có thể làm là khiến những kẻ tấn công trở nên khó khăn hơn trong mục đích của chúng. Hãy giữ an toàn cho thiết bị và mật khẩu của bạn, đảm bảo bạn có mã PIN an toàn được liên kết với tài khoản điện thoại di động của mình và tránh sử dụng xác minh SMS cho các dịch vụ quan trọng.