Vừa rồi, tài khoản Twitter của chính CEO mạng xã hội này là Jack Dorsey vừa bị hacker chiếm quyền trong một khoảng thời gian ngắn và bị xoá nhiều tweet. Đáng chú ý phương thức để hacker chiếm quyền kiểm soát tài khoản Twitter đã xảy ra nhiều trước đây và có thể xảy ra với bất cứ model điện thoại hoặc nhà mạng nào. Dĩ nhiên chúng ta cũng có thể bị tấn công dựa trên phương thức này.
Ban đầu nghe có vẻ khó để hack tài khoản của CEO một mạng xã hội nhưng nó không liên quan gì tới bảo mật của Twitter cả, nó được thực hiện qua phương thức đổi SIM (SIM swap). Ngay sau vụ tấn công, Twitter đã xác nhận vụ việc này có liên quan tới thẻ SIM điện thoại.
Đơn giản thì đổi SIM là hình thức kẻ xấu chiếm quyền sở hữu số điện thoại của bạn, từ đó khai thác để thay đổi mật khẩu một tài khoản nào đó mà bạn liên kết. Kẻ xấu sẽ cố gắng thuyết phục nhà cung cấp dịch vụ (là nhà mạng) tin rằng bạn đang kích hoạt SIM trên một thiết bị mới, nói cách khác hacker ăn cắp số điện thoại và liên kết nó với một thẻ SIM mới.
Sau khi đã liên kết thành công, thiết bị của bạn sẽ bị ngừng kích hoạt và điện thoại của hacker giờ đây có thể nhận tin nhắn, điện thoại, dữ liệu, tài khoản... được gửi đến cho bạn. Có được số điện thoại thì bạn biết rồi đó, phương thức bảo mật 2 lớp qua SMS giờ là trong tay kẻ xấu.
Bạn nên nhớ hacker không cần có điện thoại của bạn mà chúng có thể thực hiện SIM swap từ xa, bất kể model điện thoại của bạn là loại nào, bạn dùng của nhà mạng gì... Hacker chỉ cần có đủ thông tin để cho nhà mạng biết đó chính là bạn.
Cách dễ nhất là bạn sẽ thấy có gì sai sai với điện thoại đang dùng, có thể là không thể gửi tin nhắn hoặc nhận tin nhắn, không thể thực hiện cuộc gọi dù dịch vụ vẫn còn, nhận thông báo từ nhà mạng rằng số điện thoại hoặc SIM đã kích hoạt...
Đơn giản nhất là không nên cung cấp thông tin định danh, thông tin cá nhân tuỳ tiện. Bạn có thể bị lộ thông tin từ các đường link giả mạo, các thanh địa chỉ giả hoặc đăng nhập vào một trang web nào đó. Đừng nhấn vào các đường link, chương trình không tin cậy. Những thông tin nhạy cảm nên giấu bao gồm ngày tháng năm sinh, địa chỉ nhận thư hay các thông tin tài khoản khác.
Ban đầu nghe có vẻ khó để hack tài khoản của CEO một mạng xã hội nhưng nó không liên quan gì tới bảo mật của Twitter cả, nó được thực hiện qua phương thức đổi SIM (SIM swap). Ngay sau vụ tấn công, Twitter đã xác nhận vụ việc này có liên quan tới thẻ SIM điện thoại.
SIM swap là gì?
Đơn giản thì đổi SIM là hình thức kẻ xấu chiếm quyền sở hữu số điện thoại của bạn, từ đó khai thác để thay đổi mật khẩu một tài khoản nào đó mà bạn liên kết. Kẻ xấu sẽ cố gắng thuyết phục nhà cung cấp dịch vụ (là nhà mạng) tin rằng bạn đang kích hoạt SIM trên một thiết bị mới, nói cách khác hacker ăn cắp số điện thoại và liên kết nó với một thẻ SIM mới.
Sau khi đã liên kết thành công, thiết bị của bạn sẽ bị ngừng kích hoạt và điện thoại của hacker giờ đây có thể nhận tin nhắn, điện thoại, dữ liệu, tài khoản... được gửi đến cho bạn. Có được số điện thoại thì bạn biết rồi đó, phương thức bảo mật 2 lớp qua SMS giờ là trong tay kẻ xấu.
Làm sao nhận biết đang bị SIM swap?
Bạn nên nhớ hacker không cần có điện thoại của bạn mà chúng có thể thực hiện SIM swap từ xa, bất kể model điện thoại của bạn là loại nào, bạn dùng của nhà mạng gì... Hacker chỉ cần có đủ thông tin để cho nhà mạng biết đó chính là bạn.
Cách dễ nhất là bạn sẽ thấy có gì sai sai với điện thoại đang dùng, có thể là không thể gửi tin nhắn hoặc nhận tin nhắn, không thể thực hiện cuộc gọi dù dịch vụ vẫn còn, nhận thông báo từ nhà mạng rằng số điện thoại hoặc SIM đã kích hoạt...
Các cách phòng tránh và bảo vệ tài khoản
Đơn giản nhất là không nên cung cấp thông tin định danh, thông tin cá nhân tuỳ tiện. Bạn có thể bị lộ thông tin từ các đường link giả mạo, các thanh địa chỉ giả hoặc đăng nhập vào một trang web nào đó. Đừng nhấn vào các đường link, chương trình không tin cậy. Những thông tin nhạy cảm nên giấu bao gồm ngày tháng năm sinh, địa chỉ nhận thư hay các thông tin tài khoản khác.
- Không dùng bảo mật 2 lớp qua SMS, thay vào đó dùng các dịch vụ này qua ứng dụng thay vì gửi tin SMS, bạn có thể tham khảo Google Authenticator, Microsoft Authenticator, Authy...
- Thiết lập lập mã PIN với nhà mạng để bảo vệ khi cần thay đổi mật khẩu đăng nhập.
- Dùng các câu hỏi bảo mật phức tạp mà không gắn với một thông tin cá nhân nào đó.
- Bỏ liên kết số điện thoại của bạn với tài khoản nếu có thể. Ngoài ra, bạn cũng nên dùng mật khẩu phức tạp, không nên dùng dịch vụ như Google, Facebook để đăng nhập vào các dịch vụ khác.
Nguồn: Wired, Lifehacker
