Sinh viên Joel Ortiz ở California đã đồng ý nhận bản án tù 10 năm vì trộm 5 triệu USD tiền mã hóa thông qua việc hoán đổi SIM (SIM swapping). Kĩ thuật này được Ortiz sử dụng để tạo ra những yêu đồi đổi SIM để rồi chiếm đoạt số điện thoại của người khác và lấy trộm mã đăng nhập 2 lớp. Có tổng cộng 40 nạn nhân liên quan tới vụ án. Đây là lần đầu tiên một người bị tuyên phạt tù tại Mỹ vì tội này. Hiện tại nhiều tên tội phạm khác từng thực hiện những hành vi tương tự cũng sắp phải ra tòa hoặc đang bị lùng bắt. Kể từ sau vụ của Ortiz, báo cáo về việc tráo SIM đã giảm đi hẳn cho thấy kẻ xấu đang "chùn tay" hơn trong hành vi này.
Kĩ thuật SIM swapping lợi dụng điểm yếu của cơ chế xác thực 2 lớp gửi tin qua SMS. Kẻ xấu sẽ thu thập dữ liệu về nạn nhân trước, có thể qua quen biết, qua email, đọc trên mạng xã hội hoặc mua lại thông tin từ những tội phạm khác. Khi có những thông tin này, chúng sẽ liên hệ với nhà mạng để yêu cầu cấp lại SIM với lý do đã làm mất điện thoại. Khi nhân viên tổng đài xác nhận rằng thông tin đúng và khớp thì SIM của người dùng hiện tại sẽ bị hủy, số điện thoại được gán cho SIM mới của kẻ phạm tội. Vậy là hắn có thể thấy mọi tin SMS được gửi về số điện thoại nạn nhân.
Kĩ thuật tương tự từng được sử dụng để hack tài khoản ngân hàng ở Việt Nam, hack mã hai lớp thì chưa nghe nói tới nhưng về lý thuyết vẫn có thể xảy ra.
Ở một số nước, việc hack SIM khó diễn ra hơn ví dụ như tại Ấn Độ và Nigeria do nhà mạng yêu cầu người dùng nhấn phím số 1 để xác nhận, tức là tin tặc phải làm sao thuyết phục được người dùng thực hiện hành động này.
Kĩ thuật SIM swapping lợi dụng điểm yếu của cơ chế xác thực 2 lớp gửi tin qua SMS. Kẻ xấu sẽ thu thập dữ liệu về nạn nhân trước, có thể qua quen biết, qua email, đọc trên mạng xã hội hoặc mua lại thông tin từ những tội phạm khác. Khi có những thông tin này, chúng sẽ liên hệ với nhà mạng để yêu cầu cấp lại SIM với lý do đã làm mất điện thoại. Khi nhân viên tổng đài xác nhận rằng thông tin đúng và khớp thì SIM của người dùng hiện tại sẽ bị hủy, số điện thoại được gán cho SIM mới của kẻ phạm tội. Vậy là hắn có thể thấy mọi tin SMS được gửi về số điện thoại nạn nhân.
Kĩ thuật tương tự từng được sử dụng để hack tài khoản ngân hàng ở Việt Nam, hack mã hai lớp thì chưa nghe nói tới nhưng về lý thuyết vẫn có thể xảy ra.
Ở một số nước, việc hack SIM khó diễn ra hơn ví dụ như tại Ấn Độ và Nigeria do nhà mạng yêu cầu người dùng nhấn phím số 1 để xác nhận, tức là tin tặc phải làm sao thuyết phục được người dùng thực hiện hành động này.
Nguồn: Motherboard