Tham dự Tech Lounge

Tham dự Tech Lounge


Tài khoản Twitter của CEO Jack Dorsey bị hack như thế nào? Chúng ta cũng có thể dính

Didu
1/9/2019 9:46Phản hồi: 48
Tài khoản Twitter của CEO Jack Dorsey bị hack như thế nào? Chúng ta cũng có thể dính
Vừa rồi, tài khoản Twitter của chính CEO mạng xã hội này là Jack Dorsey vừa bị hacker chiếm quyền trong một khoảng thời gian ngắn và bị xoá nhiều tweet. Đáng chú ý phương thức để hacker chiếm quyền kiểm soát tài khoản Twitter đã xảy ra nhiều trước đây và có thể xảy ra với bất cứ model điện thoại hoặc nhà mạng nào. Dĩ nhiên chúng ta cũng có thể bị tấn công dựa trên phương thức này.

Ban đầu nghe có vẻ khó để hack tài khoản của CEO một mạng xã hội nhưng nó không liên quan gì tới bảo mật của Twitter cả, nó được thực hiện qua phương thức đổi SIM (SIM swap). Ngay sau vụ tấn công, Twitter đã xác nhận vụ việc này có liên quan tới thẻ SIM điện thoại.

97595C0D-9E83-4D9B-A92D-976E101EB8AD.jpeg

SIM swap là gì?


Đơn giản thì đổi SIM là hình thức kẻ xấu chiếm quyền sở hữu số điện thoại của bạn, từ đó khai thác để thay đổi mật khẩu một tài khoản nào đó mà bạn liên kết. Kẻ xấu sẽ cố gắng thuyết phục nhà cung cấp dịch vụ (là nhà mạng) tin rằng bạn đang kích hoạt SIM trên một thiết bị mới, nói cách khác hacker ăn cắp số điện thoại và liên kết nó với một thẻ SIM mới.

Sau khi đã liên kết thành công, thiết bị của bạn sẽ bị ngừng kích hoạt và điện thoại của hacker giờ đây có thể nhận tin nhắn, điện thoại, dữ liệu, tài khoản... được gửi đến cho bạn. Có được số điện thoại thì bạn biết rồi đó, phương thức bảo mật 2 lớp qua SMS giờ là trong tay kẻ xấu.

Làm sao nhận biết đang bị SIM swap?


Bạn nên nhớ hacker không cần có điện thoại của bạn mà chúng có thể thực hiện SIM swap từ xa, bất kể model điện thoại của bạn là loại nào, bạn dùng của nhà mạng gì... Hacker chỉ cần có đủ thông tin để cho nhà mạng biết đó chính là bạn.

Cách dễ nhất là bạn sẽ thấy có gì sai sai với điện thoại đang dùng, có thể là không thể gửi tin nhắn hoặc nhận tin nhắn, không thể thực hiện cuộc gọi dù dịch vụ vẫn còn, nhận thông báo từ nhà mạng rằng số điện thoại hoặc SIM đã kích hoạt...

Các cách phòng tránh và bảo vệ tài khoản


Đơn giản nhất là không nên cung cấp thông tin định danh, thông tin cá nhân tuỳ tiện. Bạn có thể bị lộ thông tin từ các đường link giả mạo, các thanh địa chỉ giả hoặc đăng nhập vào một trang web nào đó. Đừng nhấn vào các đường link, chương trình không tin cậy. Những thông tin nhạy cảm nên giấu bao gồm ngày tháng năm sinh, địa chỉ nhận thư hay các thông tin tài khoản khác.
  • Không dùng bảo mật 2 lớp qua SMS, thay vào đó dùng các dịch vụ này qua ứng dụng thay vì gửi tin SMS, bạn có thể tham khảo Google Authenticator, Microsoft Authenticator, Authy...
  • Thiết lập lập mã PIN với nhà mạng để bảo vệ khi cần thay đổi mật khẩu đăng nhập.
  • Dùng các câu hỏi bảo mật phức tạp mà không gắn với một thông tin cá nhân nào đó.
  • Bỏ liên kết số điện thoại của bạn với tài khoản nếu có thể. Ngoài ra, bạn cũng nên dùng mật khẩu phức tạp, không nên dùng dịch vụ như Google, Facebook để đăng nhập vào các dịch vụ khác.
Nguồn: Wired, Lifehacker
48 bình luận
Chia sẻ

Xu hướng

Hack ở quanh ta.
Nguy hiểm vãi :p
Xác thực hai lớp đa phần yêu cầu số điện thoại
Giờ lại khuyên ko dùng mà dùng qua phần mềm
Hihi
Gì chứ xác thực qua điện thoại vẫn rất phổ biến mà
@vule123 các ngân hàng giờ họ cũng hạn chế dùng OTP qua sms, mà dùng app token riêng, hoặc như hsbc nó có con gà để tạo token riêng,vì cơ chế sms dễ bị lủng.
nierec
TÍCH CỰC
5 năm
@vule123 ngày trước thì có bài khuyên nên sử dụng bảo mật 2 lớp để tài khoản được an toàn. Nghỉ lại, có thể hacker muốn mọi người đều làm như thế cho dễ hack, giờ bị bại lộ.
Quy Le Anh
TÍCH CỰC
5 năm
Chuyển hết tất cả các dịch vụ 2FA sang app authentication như Authy, Google Authentication, Microsoft Authenticator ngay và luôn...
@Puppy Potter Nhưng vẫn cần số điện thoại phải ko bác
Hay là chuyển sang rồi bỏ số dthoai luôn kaka
@Puppy Potter Thay máy quên mã thì cũng đến mệt đó, sms là an toàn rồi
@Puppy Potter Thà bỏ sms,2FA sang mật khẩu dài khó nhớ còn hơn. Vì cái 2FA fb éo vô đk hơn 2 tuần
Cái này VN cũng bị nhiều, bị sim swap xong rút sạch tiền ngân hàng.
@xuantruong1992 Cái này phải biết thêm id và pass tài khoản nữa mỗi sim không thì sao lấy đc.
@AZwarrior Do bị gài đăng nhập mấy trang giả mạo ngân hàng nữa, như ông này thì cũng lộ cả tk, mk nữa thì mới bị đăng nhập. 😁
@xuantruong1992 Đâu có. Ông này thì tài khoản twitter là công khai còn pass thì có sim xong từ đó đổi pass đc mà. Còn tk ngân hàng thì khác đâu phải dễ mà lấy đc.
Ulrich1204
ĐẠI BÀNG
5 năm
Mình không nổi tiếng, chắc nó không bao giờ nhằm mình đâu =)))
trungnthut
TÍCH CỰC
5 năm
Screen Shot 2019-09-01 at 8.50.58 PM.png
Screen Shot 2019-09-01 at 8.50.58 PM.png
hungbya
TÍCH CỰC
5 năm
@trungnthut Lướt tinh tế nhiều thì phải có hẳn một danh sách dài những người nên cho vô blacklist bạn ơi. Lướt cho nó thanh thản. Nhiều thành phần bài nào cũng comment nhưng cứ hễ comment một là gây war hai là nhảm nhí kiểu không đọc bài cứ comment cho cho có.
Muôn vàn kiểu hack 😃
Cách này ko mới nhưng vẫn dùng đc hoài. Hên là ông ta ko bị nhân danh mà mượn tiền từ người quen, ko chắc mất mặt lắm.
cravenkaka
ĐẠI BÀNG
5 năm
Mình có nổi...tiếng, mình ko có tiền, nó mà hack cũng chả lấy đc gì.... Cmt để luộc trứng
quickkute
ĐẠI BÀNG
5 năm
Sợ thật. Không biết nhà mạng có bị kiện không nhỉ?
@quickkute Ai cũng có thể bị dinh
quá nguy hiểm và ai cũng có thể bị dính chưởng
hoanghainh
ĐẠI BÀNG
5 năm
Đùa, CEO mà vẫn còn dùng SMS để xác thực thì không ổn rồi.
Chủ top còn bị hack thì mình sao có thể thoát!
asuwa
TÍCH CỰC
5 năm
@phucprolangtu Hack vô xóa giùm mấy post bậy thôi mà.
cattrieu
TÍCH CỰC
5 năm
Vậy mà bữa ở post này có mấy thằng kêu gào nhà mạng ở VN làm khó dễ khi bắt khai báo thêm 5 sđt hay gọi đi nhất lúc báo mất thay sim.
Người ta làm khó cũng chửi, mà làm dễ rồi có hậu quả nghiêm trọng cũng chửi, cc gì tụi bây cũng nói cho được.

https://tinhte.vn/ios/thao-luan/sim-viettel-dung-duoc-3-ngay-bi-khoa-1-chieu-khong-xac-minh-chinh-chu-la-bi-sao-anh-em.3006606/tra-loi/54626085
cattrieu
TÍCH CỰC
5 năm
@cattrieu @TYA thằng ngu như m nên vô đây đọc cho sáng cái não ra
asuwa
TÍCH CỰC
5 năm
Gì cũng hack đc
Motsoilong
ĐẠI BÀNG
5 năm
Đâu đâu cũng thấy hack :eek:
ngghuyy
CAO CẤP
5 năm
Vấn đề này mình phát hiện ra ở Momo. Việc mất token qua SMS là chuyện bỡn, mà mấy ông đó dùng token sms làm chính, bấm lấy lại mật khẩu, nhét sim khổ chủ vào 1 máy khác là ngon ăn như thường.
@ngxhuy Dễ vậy có mà nó rút hết tk à bác
ngghuyy
CAO CẤP
5 năm
@Manhtoan112 Từ hồi đó mình không dùng Momo nữa, hiện tại không biết họ đã fix chưa. Mình ví dụ Viettel Pay muốn lấy lại mật khẩu phải mang CMND ra địa điểm giao dịch còn MoMo thì không, Zalo Pay thì 2 tầng mật khẩu, mật khẩu giao dịch không thể thay đổi qua SMS, chưa kể Zalo Login 2 bước bằng ảnh người quen nữa. Trước có mấy ông Demo Hack mạng GSM bằng thiết bị gây nhiễu sóng đọc được cả SMS, cách đó khó còn cách dễ là bất cứ app clone này, dùng adb tool hay dễ nhất, trộm sim của khổ chủ là xong
@ngxhuy Vậy à bác mình sài momo lại ko sài viettel pay

Xu hướng

Bài mới









  • Chịu trách nhiệm nội dung: Trần Mạnh Hiệp
  • © 2024 Công ty Cổ phần MXH Tinh Tế
  • Địa chỉ: Số 70 Bà Huyện Thanh Quan, P. Võ Thị Sáu, Quận 3, TPHCM
  • Số điện thoại: 02822460095
  • MST: 0313255119
  • Giấy phép thiết lập MXH số 11/GP-BTTTT, Ký ngày: 08/01/2019