Tại sao bạn không nên dùng xác thực hai yếu tố bằng tin nhắn SMS

PV11:02 30/11/2021

Tin nhắn SMS được chứng minh là kém bảo mật để sử dụng làm phương thức xác thực hai yếu tố.

Cơ chế xác thực hai yếu tố (2FA – Two-factor Authentication) từ lâu đã được nhiều người tin dùng nhờ tính bảo mật cao. Cơ chế này thêm một bước xác thực thứ hai bên cạnh việc sử dụng mật khẩu để đăng nhập, từ đó giảm thiểu khả năng bị các tin tặc tấn công tài khoản, đặc biệt hữu dụng khi sử dụng với các nền tảng mạng xã hội như Facebook, Instagram, Google…

Một trong những phương thức xác thực hai yếu tố phổ biến nhất hiện tại là sử dụng tin nhắn SMS để nhận mã xác thực được gửi về số điện thoại đăng ký tài khoản của người dùng. Nghe thì có vẻ an toàn bởi sẽ chẳng có ai ngoài bản thân người dùng có được số điện thoại chính chủ trong tay, thế nhưng theo nhiều chuyên gia bảo mật, tin nhắn SMS không phải là một phương thức bảo mật an toàn và nó hoàn toàn có thể bị khai thác và giả mạo.

Xác thực hai yếu tố bằng SMS

Bất chấp sự kém bảo mật của cơ chế SMS nhưng xác thực hai yếu tố bằng tin nhắn vẫn được sử dụng rộng rãi do tính đơn giản của phương thức này.

Cách tin tặc “hack” tin nhắn SMS

Về cơ bản, tin nhắn SMS dựa trên mạng viễn thông của các nhà mạng. Ban đầu, các hacker có nhiều cách để để xâm nhập vào hạ tầng mạng viễn thông của nhà mạng, tuy nhiên cách này đã bị coi là “lỗi thời” và không còn phù hợp. Thay vào đó, các tin tặc chuyển hướng sang khai thác người dùng.

Daniel Cid, nhà sáng lập của trang Sucuri Blog, cho biết không chỉ nhà mạng có hạ tầng bảo mật kém mà cả các nhà sản xuất điện thoại cũng vậy.

“Hộp thư thoại chỉ được bảo mật bởi mã PIN 4 số, và hầu hết nhà mạng đều cho phép người dùng truy cập hộp thư thoại từ xa.

Dễ dàng tấn công: Chỉ cần một vài thông tin cơ bản về nạn nhân là có thể reset mã PIN.

Video đang HOT

Dễ dàng bị giả mạo: Việc giả mạo tin nhắn SMS cực kỳ dễ. Tin nhắn SMS không có cơ chế bảo mật hay bất cứ chứng chỉ bảo mật nào để xác minh người gửi có an toàn hay không”.

Google hiện cũng đã nỗ lực để tìm ra phương thức bảo mật an toàn cũng như cách để xác minh người gửi SMS. Nếu bạn quan tâm có thể tham khảo chi tiết nội dung được đăng tải bởi Google ở đường dẫn này.

Các tin tặc có thể kết hợp nhiều cách thức lừa đảo khác nhau để khai thác thông tin từ nạn nhân, ví dụ như gửi một tin nhắn giả mạo tới nạn nhân mà trông có vẻ như được gửi từ một người gửi uy tín. Cách thức này hiện đang cực kỳ phổ biến tại Việt Nam do việc quản lý SMS Brandname (tin nhắn thương hiệu) chưa thực sự hiệu quả, cho phép các tin tặc có thể đăng ký Brandname bất kỳ, đa số là tên ngân hàng, ví dụ như “ACB”, “Vietcombank”, “VietinBanh”…

Một ngân hàng tại Việt Nam bị giả mạo bằng cách thức đăng ký SMS Brandname giống hệt

Trong nhiều trường hợp, các tin tặc sẽ lừa người dùng thiếu cảnh giác để tự điền các thông tin cá nhân vào một trang web lừa đảo (phishing) với giao diện giống thật, sau đó một mã xác thực SMS được gửi tới số điện thoại của nạn nhân và yêu cầu người dùng điền mã xác thực vào trang web này.

Đó mới chỉ là một vài cách phổ biến đánh trúng sự thiếu hiểu biết của các nạn nhân. Với một vài tin tặc, kỹ thuật yếu tố con người (social engineering) được sử dụng trong nhiều trường hợp nhằm chiếm đoạt các thông tin cá nhân. Một trong những cách dễ dàng nhất là hoán đổi thông thẻ SIM.

Với cách này, tin tặc sẽ thu thập thông tin về nạn nhân càng nhiều càng tốt, có thể là tên, ngày sinh, địa chỉ, số căn cước… Sau đó giả danh nạn nhân, sử dụng một chiếc điện thoại và thẻ SIM mới sau đó yêu cầu nhà mạng kích hoạt số điện thoại trên thẻ SIM đó. Nếu “trót lọt”, số điện thoại sẽ được chuyển sang thẻ SIM mới của tin tặc, từ đó cho phép tin tặc toàn quyền kiểm soát các tài khoản có sử dụng số điện thoại đăng ký của nạn nhân. Phương thức này chủ yếu lợi dụng sự lỏng lẻo trong khâu xác minh người dùng của nhà mạng.

Phương thức “hoán đổi SIM” sử dụng kỹ thuật yếu tố con người

Quá trình này có vẻ phức tạp, tuy nhiên nó lại có tính hiệu quả cao một khi thành công. Trong quá khứ, Cloudflare đã từng bị “hack” bằng kỹ thuật này khi nhà mạng AT&T (nhà mạng cung cấp dịch vụ của Cloudflare) đã bị đánh lừa và chuyển hướng thư thoại, sau đó tin tặc có được quyền truy cập vào tài khoản email thông qua một mã xác thực 2FA được gửi vào hộp thư thoại.

Trong nhiều trường hợp, mã xác thực hai yếu tố còn có thể bị các ứng dụng có mã độc được cài đặt trong máy người dùng, đa số là Android, đọc được nếu chẳng may cấp quyền truy cập tin nhắn cho ứng dụng. Đây cũng là một trong những cách phổ biến được tin tặc sử dụng, bằng cách lừa người dùng cài đặt ứng dụng trái phép, sau đó hỏi quyền truy cập SMS. Nếu người dùng đồng ý, toàn bộ dữ liệu tin nhắn có trong máy đều có thể bị ứng dụng truy cập và gửi về một máy chủ nào đó.

Sử dụng các cơ chế xác thực 2FA thay thế

Tin nhắn SMS đã được chứng minh là phương thức xác thực kém bảo mật. Để tránh các vụ tấn công mạng nhắm vào người dùng cuối, dưới đây là các phương thức xác thực hai yếu tố thay thế cho SMS được các chuyên gia bảo mật khuyên dùng.

- Thiết bị xác thực hai yếu tố: Phương thức này phụ thuộc vào một thiết bị phần cứng vật lý có thể cho phép quyền truy cập vào tài khoản. Thiết bị này sẽ tạo ra một mã xác thực và người dùng cần phải điền mật khẩu và mã xác thực mới có thể truy cập vào tài khoản. Tất nhiên, phương thức này sẽ không hiệu quả nếu người dùng làm mất thiết bị.

- Ứng dụng xác thực hai yếu tố: Hiện tại có khá nhiều phần mềm cung cấp tính năng tạo mã xác thực. Giống với xác thực bằng phần cứng thì xác thực bằng ứng dụng cũng sẽ cung cấp một mã xác thực cho người dùng dùng để đăng nhập vào tài khoản. Một trong những ứng dụng phổ biến nhất là Google Authenticator.

- Xác thực dựa trên địa chỉ IP: Đây là cách được nhiều website sử dụng khi chỉ cho phép người dùng truy cập vào tài khoản với một địa chỉ IP tin cậy. Phương thức này hạn chế tối đa khả năng xâm nhập tài khoản từ người lạ.

Ra mắt website chống tin nhắn, cuộc gọi rác

Người dùng có thể cập nhật tin tức, phản ánh tin nhắn hoặc cuộc gọi rác thông qua website vừa được Cục An toàn thông tin, Bộ TT&TT ra mắt.

Ngày 24/11, Trung tâm Ứng cứu Khẩn cấp Không gian mạng Việt Nam (VINCERT/CC) thuộc Cục An toàn Thông tin, Bộ Thông tin và Truyền thông (Bộ TT&TT) đã giới thiệu Cổng thông tin điện tử phòng chống tin nhắn, email, cuộc gọi rác tại địa chỉ chongthurac.vn.

Thông qua website, người dùng có thể cập nhật tin tức, phản ánh tin nhắn hoặc cuộc gọi rác, đăng ký tham gia danh sách không quảng cáo (DoNotCall). Trong khi đó, các tổ chức có thể tra cứu, tham khảo thủ tục cấp tên định danh (Brand Name) dành cho tin nhắn.

Website chống thư rác cho phép người dùng cập nhật thông tin, phản ánh tin nhắn vi phạm Nghị định 91.

Cổng thông tin có 6 tính năng gồm: Tin tức, Quản lý tên định danh, Phản ánh tin nhắn hoặc cuộc gọi rác, Đăng ký danh sách không quảng cáo, Quản lý danh sách đen địa chỉ IP và Hỗ trợ.

Để phản ánh tin nhắn hoặc cuộc gọi rác, người dùng nhấn vào nút Phản ánh tin nhắn rác, cuộc gọi rác. Trong màn hình tiếp theo, chọn loại thông tin cần phản ánh (tin nhắn, email hoặc cuộc gọi), nguồn phát tán, số điện thoại người phản ánh, nội dung tin nhắn, ảnh chụp màn hình bằng chứng rồi nhấn Phản ánh. Sau đó, nhập mã OTP được gửi về điện thoại, nhấn Hoàn thành để gửi báo cáo nội dung rác.

Nếu muốn đăng ký tham gia danh sách không quảng cáo (DNC), chọn tính năng Đăng ký DNC từ cổng thông tin. Trong màn hình tiếp theo, gõ số điện thoại muốn đăng ký rồi nhập mã OTP để hoàn tất. Website cũng cho phép tra cứu số điện thoại nằm trong danh sách DNC hay chưa.

Trước đây, người dùng có thể phản ánh tin nhắn rác, đăng ký tham gia danh sách DNC bằng cách gửi tin nhắn đến đầu số 5656. Từ tháng 5, Cục An toàn thông tin đã vận hành hệ thống phản ánh trên Internet. Thông qua cổng thông tin vừa được ra mắt, người dùng có thể truy cập trang phản ánh dễ dàng hơn.

Cổng thông tin dẫn đến trang web giúp người dùng phản ánh tin nhắn, cuộc gọi rác.

Với cá nhân hoặc tổ chức, tính năng Quản lý tên định danh cho phép tra cứu SMS Brand Name do Cục An toàn Thông tin cấp hoặc nhà mạng khai báo. Theo Nghị định 91/2020/NĐ-CP, mọi cá nhân, tổ chức có thể đăng ký, sử dụng tên định danh với số lượng không giới hạn để quảng cáo, gọi điện trong 3 năm.

Cổng thông tin điện tử phòng chống tin nhắn, email, cuộc gọi rác còn đăng tải thông tin chỉ đạo, cảnh báo về tin nhắn, cuộc gọi, email rác hoặc lừa đảo, các hoạt động thanh tra, giải pháp công nghệ liên quan đến phòng chống tin nhắn, email và cuộc gọi rác.

Do liên kết với hệ thống quản lý danh sách không quảng cáo, VINCERT/CC cũng sẽ cập nhật, công bố danh sách địa chỉ IP nằm trong danh sách đen do phát tán tin nhắn rác. Khi nằm trong danh sách này, địa chỉ IP sẽ không thể gửi hoặc nhận email nữa.

Được ban hành ngày 20/8/2020, Nghị định 91/2020/NĐ-CP đã hoàn thiện hành lang pháp lý về chống tin nhắn, email và cuộc gọi rác, giúp tăng cường việc quản lý trong lĩnh vực an toàn thông tin nói chung và chống email, tin nhắn, cuộc gọi rác nói riêng.

Theo Khoản 3, Điều 7 của nghị định, người quảng cáo, doanh nghiệp cung cấp dịch vụ Internet, viễn thông không được gọi điện, gửi tin nhắn quảng cáo đến số điện thoại nằm trong danh sách DNC.

Điều 32 của nghị định nêu rõ hành vi gửi tin nhắn, gọi điện thoại quảng cáo khi chưa được đồng ý hoặc khi người sử dụng đã từ chối nhận quảng cáo bị phạt 5-10 triệu đồng. Trong khi đó, gửi tin nhắn, gọi điện quảng cáo đến các số điện thoại nằm trong danh sách DNC có thể bị phạt 80-100 triệu đồng, thậm chí thu hồi số điện thoại vi phạm.

Tin nhắn spam, quảng cáo app cờ bạc "tấn công" người dùng iPhone Thời gian gần đây, nhiều người dùng iPhone phản ánh rằng họ lại bị "tấn công" bởi hàng loạt tin nhắn quảng cáo thông qua nền tảng iMessage. "Hầu như ngày nào tôi cũng nhận được một hoặc hai tin nhắn spam qua iMessage. Tôi đã phải tạm tắt tính năng nhắn tin qua iMessage để tránh bị làm phiền", anh Quang Hà,...

Bạn thấy bài viết này có hữu ích không?

Có;

Không

Tin liên quan

Xem thêm Share

Xem nhiều

Hòa Minzy trả lời về con số 8 tỷ đồng làm MV Bắc Bling, cát-xê của Xuân Hinh gây xôn xao04:19

Vụ lộ hình ảnh thi hài nghệ sĩ Quý Bình: Nữ nghệ sĩ Việt lên tiếng xin lỗi01:32

Nghẹn ngào khoảnh khắc mẹ diễn viên Quý Bình bật khóc trong giây phút cuối cùng bên con trai00:30

1 triệu người Việt sững người xem clip bố lạnh lùng với con gái ở tòa: "Nếu chọn mẹ thì bố con mình cắt luôn từ đây", đau lòng với phản ứng của bé gái00:31

Clip sốc: Nhóm trẻ con vô tư dùng con trăn dài 2,5m chơi nhảy dây, nhận cái kết đắng tức thì00:18

Cảnh tượng gây bức xúc tại lễ viếng cố nghệ sĩ Quý Bình00:19

Sự cố chấn động điền kinh: VĐV bị đối thủ vụt gậy vào đầu, nghi vỡ hộp sọ02:05

Đám tang diễn viên Quý Bình: Ốc Thanh Vân - Thanh Trúc và các nghệ sĩ Việt đau buồn đến viếng00:30

Lễ tang nghệ sĩ Quý Bình: Xót xa cảnh mẹ nam diễn viên buồn bã, cúi chào từng khách đến viếng00:15

Lý do nghệ sĩ Quý Bình không có vợ kề cận chăm sóc ngày cuối đời01:59

Vụ clip người mặc đồ giống "vua cà phê" Đặng Lê Nguyên Vũ đánh nhau: Trung Nguyên lên tiếng00:17

Tin đang nóng

Tin mới nhất

Nâng cao và biến đổi hình ảnh của bạn bằng trình chỉnh sửa video trực tuyến CapCut

15:45:56 16/01/2024

Đã đến lúc bỏ lại các công cụ chỉnh sửa cũ và chấp nhận giải pháp thay đổi cuộc chơi. Gặp gỡ Trình chỉnh sửa video trực tuyến CapCut - giải pháp sẽ nâng cao, nâng cao và cách mạng hóa thế giới sáng tạo nội dung trực quan của bạn

Cách đăng Facebook để có nhiều lượt thích và chia sẻ

22:01:27 21/12/2022

Chắc hẳn là ai trong chúng ta cũng luôn muốn các bài đăng trên Facebook có được nhiều lượt thích và chia sẻ. Tuy nhiên, làm thế nào để tối ưu bài đăng thì không phải ai cũng biết

Thêm nhiều bang của Mỹ cấm TikTok

21:03:46 21/12/2022

Louisiana và Tây Virginia là hai bang mới nhất cấm công chức sử dụng TikTok trên thiết bị công do lo ngại Trung Quốc có thể theo dõi người Mỹ và kiểm duyệt nội dung

Microsoft cấm khai thác tiền điện tử trên các dịch vụ đám mây để bảo vệ khách hàng

20:03:41 21/12/2022

Microsoft đã cập nhật thỏa thuận cấm khai thác tiền điện tử trên các dịch vụ trực tuyến của mình. Việc khai thác tiền điện tử trên dịch vụ của Microsoft cần có sự cho phép bằng văn bản của công ty, nhưng cũng chỉ nhằm mục đích thử nghiệ...

Facebook trấn áp hàng loạt công ty phần mềm gián điệp

20:01:24 21/12/2022

Meta (công ty mẹ của Facebook) cho biết họ đã ngăn chặn không dưới 200 hoạt động bí mật, trấn áp hàng loạt công ty phần mềm gián điệp kể từ năm 2017 tại khoảng 70 quốc gia

Meta đối mặt cáo buộc vi phạm các quy tắc chống độc quyền với mức phạt 11,8 tỷ đô

19:01:39 21/12/2022

Ủy ban Châu Âu - cơ quan điều hành của EU cho biết, đã phát hiện Meta vi phạm các quy tắc chống độc quyền của EU bằng cách bóp méo sự cạnh tranh trên thị trường quảng cáo trực tuyến. Meta có thể phải đối mặt với khoản tiền phạt lên tới ...

Không cần thăm dò, Musk nên sớm từ chức CEO Twitter

15:01:33 21/12/2022

Người dùng Twitter, các nhà đầu tư Tesla và chuyên gia phân tích trong ngành đều cho rằng Elon Musk nên sớm từ chức CEO Twitter

Đại lý Việt nhập iPhone 14 kiểu 'bia kèm lạc'

14:01:42 21/12/2022

Muốn nhập được các mẫu bán chạy như iPhone 14 Pro/Pro Max, các chuỗi đại lý bán lẻ ủy quyền của Apple bắt buộc phải nhập thêm hàng loạt phụ kiện đi kèm

Khai trương hệ thống vé điện tử và dịch vụ trải nghiệm thực tế ảo XR tại Quần thể Di tích Cố đô Huế

09:38:18 21/12/2022

Sáng 20/12, tại Ngọ Môn, Đại Nội Huế, Trung tâm Bảo tồn Di tích Cố đô Huế đã tổ chức Lễ Khai trương Hệ thống vé điện tử và dịch vụ trải nghiệm thực tế ảo XR

'Dở khóc dở cười' với tính năng trợ giúp người bị tai nạn ôtô của Apple

09:37:54 21/12/2022

Tính năng phát hiện tai nạn ôtô mới ra mắt trên Apple iPhone và Apple Watch sẽ tự động tìm kiếm sự trợ giúp từ bộ phận cấp cứu khi có nguy cơ xảy ra tai nạn