[Hỏi Tinh tế] Làm sao để online an toàn? Khóa PIN cho SIM, giấu thẻ tín dụng, mã reset pass...

Ngoài các cổng thanh toán và những website mua bán hay dịch vụ bạn có thể tin tưởng, còn lại thì bạn không được để cho bất kì ai biết số thẻ của mình. Không gửi thông tin thẻ qua email, không gửi thông tin thẻ qua SMS, không post lên Facebook, hãy giữ những con số đó thật kĩ càng. Bên cạnh nguy cơ bị mất tiền như chơi, thẻ còn có thể bị sử dụng cho những chuyện trái pháp luật và nhà chức trách sẽ truy ra nguồn gốc ở bạn, khi đó rất phiền phức để giải thích và chứng minh rằng bạn không phải là người phạm tội.

Chưa hết, có một câu chuyện mà mình vừa đọc được trên Facebook sáng nay. Một anh chàng bị mất iPhone nhưng đã kịp khóa iCloud, tức là theo lý thuyết máy khi đó đã thành cục gạch. Nhưng không, kẻ trộm rất thông minh, hắn lấy SIM ra để biết được số, sau đó hắn đã tìm kiếm trên Google để ra được địa chỉ Gmail của nạn nhân. Khi đã có số điện thoại và địa chỉ email, hắn reset password Gmail và sử dụng mã OTP do Google gửi vào điện thoại để xác thực. Mà khi đã có trong tay Gmail rồi hắn có thể làm bất kì thứ gì hắn muốn.

Nhưng may mắn là Apple có cơ chế xác thực hai lớp, trong đó có yêu cầu reset password iCloud thì cần phải nhập thông tin thẻ tín dụng. Vì tên trộm không có thẻ tín dụng của nạn nhân nên hắn gửi SMS để lừa nạn nhân rằng điện thoại của bạn đã được tìm thấy kèm theo đường link dẫn tới website trông giống như của Apple. May mà anh này biết được và dừng lại, chứ nhập thông tin thẻ vào nữa là xem như mất luôn iCloud.


Cài mã PIN cho SIM

Như trong câu chuyên ở trên anh em có thể thấy rằng việc mất điện thoại không quan trọng bằng việc mất SIM. Khi kẻ trộm có SIM trong tay, hắn ta sẽ có số điện thoại của bạn và dễ dàng reset password rất nhiều tài khoản quan trọng. Mà làm sao hắn ta biết được số điện thoại chỉ dựa vào SIM? Đơn giản, hắn gắn SIM của bạn vào một cái điện thoại khác rồi gọi vào điện thoại của hắn là biết ngay.

Mấu chốt vấn đề nằm ở đây. Nếu hắn ta không thể gọi điện sang máy của hắn thì hắn sẽ không biết được số điện thoại của bạn. Mà chưa biết số điện thoại thì sẽ rất khó để đi dò trên mạng để móc ra được địa chỉ email. Tóm lại, chúng ta cần ngăn chặn việc hắn có thể thực hiện cuộc gọi từ SIM của bạn, và đó là lý do SIM PIN ra đời.

Mã PIN cho SIM là một chuỗi 4 số bắt buộc phải nhập vào khi cắm SIM sang điện thoại mới. Nếu bạn không nhập đúng mã PIN thì bạn không thể làm gì với SIM này (kể cả gọi điện), và nếu nhập sai 3 lần thì bị khóa SIM. Cách cài mã PIN cho SIM như sau:

Trên iPhone: vào Cài đặt > Điện thoại > SIM PIN, bật tính năng này, nhập vào mã PIN của bạn. Không nên dùng ngày sinh vì dễ đoán.

Trên Android: vào Cài đặt > gõ ô tìm kiếm > nhập chữ "SIM" vào rồi bật tính năng tương ứng. Nếu bạn xài giao diện tiếng Việt thì có thể nó ghi chữ "Cài đặt khóa SIM" hoặc "SIM PIN", nếu tiếng Anh sẽ là "Set up SIM card lock" hoặc "Change SIM PIN". Đừng nên dùng dùng ngày sinh vì dễ đoán.

Lưu ý: khi lần đầu bật tính năng SIM PIN bạn sẽ được hỏi PIN hiện tại là gì. Đừng lo lắng, mã này do nhà mạng thiết lập sẵn như bên dưới. Sau khi nhập xong mã mặc định thì bạn đổi sang mã mới do bạn chọn. Nếu nhập không được, đừng cố gắng tiếp tục vì có thể ai đó đã đổi PIN cho SIM của bạn trước hoặc nhà mạng đổi mà bạn không biết. Hãy gọi tổng đài (xem bên dưới) để được hỗ trợ chứ không lại bị khoá SIM mất công.

• SIM Viettel: 0000
• SIM Vinaphone: 1234
• SIM Mobifone: 1111 hoặc 0000 (sim 4G)

Không share password ở bất kì đâu

Trừ khi bạn đang đăng nhập hay xác thực gì đó, còn lại bạn không nên gõ password của mình vào bất kì đâu, tất nhiên cũng không nên chia sẻ nó cho bất kì người nào khác qua bất kì phương tiện như email, tin chat, tin nhắn SMS. Có rất rất nhiều kẻ lừa đảo nhắn SMS cho bạn dạng "Chúng tôi phát hiện giao dịch có hại, hãy nhập password để hủy giao dịch". Rất rất nhiều người đã bị lừa một cách dễ dàng như thế, và chỉ trong chốc lát tin tặc đã có mật khẩu của bạn. Chúng ta lại có thói quen đặt password chung cho nhiều tài khoản khác nhau nên mất một cái là xem như mất hết đám kia.

Ngoài ra, bạn cũng nên để ý kĩ đường link mà bạn tính nhập password vào có phải là link chính chủ, link đúng hay không. Có nhiều trò lừa viết tên miền hơi giống tên gốc nhưng thực chất trang đó được làm ra để đánh cắp mật khẩu của bạn. Ví dị: applc.com hay googlc.com chẳng hạn. Chỉ khác một kí tự thôi là đã ra website khác và việc bị lừa là dễ thấy.


Nên dùng khác password cho các tài khoản quan trọng và email chính

Như đã nói ở trên, chúng ta thường có thói quen sử dụng chung một password cho tất cả tài khoản. Thói quen này cực kì có hại vì nó sẽ khiến hacker dễ chiếm quyền kiểm soát tài khoản của bạn nếu hắn vô tình đoán hay biết được một cái. Tất nhiên, yêu cầu đặt mỗi account một password gần như là điều không khả thi, do đó mình xin chia sẻ với anh em cách mình đang áp dụng như sau:

• Với tài khoản email quan trọng nhất: đặt pass riêng, không giống với bất kì tài khoản nào khác. Đây là email dùng với ngân hàng, dùng cho account Tinh tế, cho tất cả mọi thứ cực kì thiết yếu mà mình không thể sống thiếu
• Với tài khoản ngân hàng: đặt pass riêng, để tránh bị mất tiền
• Với các tài khoản khác kém quan trọng hơn: đặt pass riêng khác nữa

Tùy theo mức độ quan trọng của các tài khoản anh em sử dụng mà anh em có thể chọn dùng cái nào riêng, cái nào chung cho tiện.

Cách tốt hơn: dùng app password manager nào đó, ví dụ như LastPass hay 1Password. Cá nhân mình không thích những app dạng này vì mình không có đủ niềm tin và không có đủ khả năng giao khoán password nên mình chọn cách nhớ trong đầu.

Số điện thoại gửi OTP cho bạn là gì?

Hiện tại chúng ta đã khá quen thuộc với các hình thức bảo mật 2 lớp, tức là sau khi nhập password thì bạn phải nhập thêm một mã xác thực nữa thì mới đăng nhập được. Tương tự, khi reset password bạn cũng phải nhập mã xác thực thì mới được phép đi tiếp.

Vấn đề là có những trường hợp tin tặc sử dụng số điện thoại lạ nào đó để nhắn tới cho bạn code reset. Những số này thường không phải dạng số tổng đài (có 4-6 số) mà sẽ dài như số cá nhân chúng ta đang xài (10 số, 11 số). Bạn có thể dựa vào đây để đánh giá xem có nên tin tưởng code gửi tới hay không. Nhưng lưu ý rằng cũng sẽ có một số trường hợp mã xác thực được gởi tới bằng đầu số thường, tốt nhất bạn nên hỏi công ty chủ quản dịch vụ bạn đang xài cho an toàn.


Nhưng vụ này không nguy hiểm bằng việc đầu số lạ nhắn cho bạn tin gì đó và yêu cầu nhập mã vào rồi gửi ngược lại. Như ví dụ ở trên, anh bạn mình thấy trên Facebook được yêu cầu gửi thông tin thẻ tín dụng qua SMS để xác thực. Mình cũng từng thấy tin nhắn lừa đảo kêu gửi password qua. Đó là chuyện KHÔNG BAO GIỜ xảy ra, nếu có thì chắc chắn là lừa đảo. Anh em nhớ cẩn thận.

Cẩn thận với những người chat với bạn

Nếu bất thình lình một người chat với bạn để hỏi mượn tiền, nạp card điện thoại hay đi mượn cái gì đó mà bạn có thể chuyển không cần gặp mặt thì phải đề cao cảnh giác ngay lập tức. Bạn có thể hỏi một số câu hỏi mà chỉ bạn với người đó biết để xác minh xem có thật sự người gửi là người bạn biết hay là một ai đó đang chiếm lấy tài khoản của họ. Nếu cần, gọi điện thoại thẳng cho họ để xác thực thông tin cho an toàn. Có thể hỏi thêm những người lân cận với người đó để xem có ai đã từng bị dụ theo cách tương tự hay chưa.

Đặt mật khẩu khó

Chuyện này không quá khó nhưng không phải ai cũng làm. Trong password của bạn ngoài chữ ra còn cần phải có số và kí tự đặc biệt nữa. Ví dụ, bạn có thể đặt pass là DuyLuan@XXX1 chẳng hạn. Càng có nhiều kí tự thì hacker càng khó đoán / dò ra mật khẩu của bạn và đây cũng là một cách an toàn nhất bạn có thể thực hiện để đảm bảo mình không bị đánh cắp tài khoản. Xin đừng lười đặt mật khẩu dễ, vì tới khi mất password thì không gì có thể giúp bạn lấy lại được đâu nhé.

Ngoài ra bạn cũng cần thay đổi mật khẩu thường xuyên. Có thể 1 năm đổi 1 lần thôi chứ cũng không cần phải căng thẳng quá. Cách này mình vẫn hay áp dụng với một số tài khoản quan trọng của mình. Tài khoản làm việc ở công ty thì bị bắt buộc đổi mỗi 3 tháng nữa kìa. Hãy chịu khó một chút nhé!

Đây là kinh nghiệm của mình, mời anh em chia sẻ thêm những cách bảo vệ của anh em nhé.