Tại sao bạn không nên dùng xác thực hai yếu tố bằng tin nhắn SMS

PV11:02 30/11/2021

Tin nhắn SMS được chứng minh là kém bảo mật để sử dụng làm phương thức xác thực hai yếu tố.

Cơ chế xác thực hai yếu tố (2FA – Two-factor Authentication) từ lâu đã được nhiều người tin dùng nhờ tính bảo mật cao. Cơ chế này thêm một bước xác thực thứ hai bên cạnh việc sử dụng mật khẩu để đăng nhập, từ đó giảm thiểu khả năng bị các tin tặc tấn công tài khoản, đặc biệt hữu dụng khi sử dụng với các nền tảng mạng xã hội như Facebook , Instagram , Google…

Một trong những phương thức xác thực hai yếu tố phổ biến nhất hiện tại là sử dụng tin nhắn SMS để nhận mã xác thực được gửi về số điện thoại đăng ký tài khoản của người dùng. Nghe thì có vẻ an toàn bởi sẽ chẳng có ai ngoài bản thân người dùng có được số điện thoại chính chủ trong tay, thế nhưng theo nhiều chuyên gia bảo mật, tin nhắn SMS không phải là một phương thức bảo mật an toàn và nó hoàn toàn có thể bị khai thác và giả mạo.

Xác thực hai yếu tố bằng SMS

Bất chấp sự kém bảo mật của cơ chế SMS nhưng xác thực hai yếu tố bằng tin nhắn vẫn được sử dụng rộng rãi do tính đơn giản của phương thức này.

Cách tin tặc “hack” tin nhắn SMS

Về cơ bản, tin nhắn SMS dựa trên mạng viễn thông của các nhà mạng. Ban đầu, các hacker có nhiều cách để để xâm nhập vào hạ tầng mạng viễn thông của nhà mạng, tuy nhiên cách này đã bị coi là “lỗi thời” và không còn phù hợp. Thay vào đó, các tin tặc chuyển hướng sang khai thác người dùng.

Daniel Cid, nhà sáng lập của trang Sucuri Blog, cho biết không chỉ nhà mạng có hạ tầng bảo mật kém mà cả các nhà sản xuất điện thoại cũng vậy.

“Hộp thư thoại chỉ được bảo mật bởi mã PIN 4 số, và hầu hết nhà mạng đều cho phép người dùng truy cập hộp thư thoại từ xa.

Dễ dàng tấn công: Chỉ cần một vài thông tin cơ bản về nạn nhân là có thể reset mã PIN.

Video đang HOT

Dễ dàng bị giả mạo: Việc giả mạo tin nhắn SMS cực kỳ dễ. Tin nhắn SMS không có cơ chế bảo mật hay bất cứ chứng chỉ bảo mật nào để xác minh người gửi có an toàn hay không”.

Google hiện cũng đã nỗ lực để tìm ra phương thức bảo mật an toàn cũng như cách để xác minh người gửi SMS. Nếu bạn quan tâm có thể tham khảo chi tiết nội dung được đăng tải bởi Google ở đường dẫn này.

Các tin tặc có thể kết hợp nhiều cách thức lừa đảo khác nhau để khai thác thông tin từ nạn nhân, ví dụ như gửi một tin nhắn giả mạo tới nạn nhân mà trông có vẻ như được gửi từ một người gửi uy tín. Cách thức này hiện đang cực kỳ phổ biến tại Việt Nam do việc quản lý SMS Brandname (tin nhắn thương hiệu) chưa thực sự hiệu quả, cho phép các tin tặc có thể đăng ký Brandname bất kỳ, đa số là tên ngân hàng, ví dụ như “ACB”, “Vietcombank”, “VietinBanh”…

Một ngân hàng tại Việt Nam bị giả mạo bằng cách thức đăng ký SMS Brandname giống hệt

Trong nhiều trường hợp, các tin tặc sẽ lừa người dùng thiếu cảnh giác để tự điền các thông tin cá nhân vào một trang web lừa đảo (phishing) với giao diện giống thật, sau đó một mã xác thực SMS được gửi tới số điện thoại của nạn nhân và yêu cầu người dùng điền mã xác thực vào trang web này.

Đó mới chỉ là một vài cách phổ biến đánh trúng sự thiếu hiểu biết của các nạn nhân. Với một vài tin tặc, kỹ thuật yếu tố con người (social engineering) được sử dụng trong nhiều trường hợp nhằm chiếm đoạt các thông tin cá nhân. Một trong những cách dễ dàng nhất là hoán đổi thông thẻ SIM.

Với cách này, tin tặc sẽ thu thập thông tin về nạn nhân càng nhiều càng tốt, có thể là tên, ngày sinh, địa chỉ, số căn cước… Sau đó giả danh nạn nhân, sử dụng một chiếc điện thoại và thẻ SIM mới sau đó yêu cầu nhà mạng kích hoạt số điện thoại trên thẻ SIM đó. Nếu “trót lọt”, số điện thoại sẽ được chuyển sang thẻ SIM mới của tin tặc, từ đó cho phép tin tặc toàn quyền kiểm soát các tài khoản có sử dụng số điện thoại đăng ký của nạn nhân. Phương thức này chủ yếu lợi dụng sự lỏng lẻo trong khâu xác minh người dùng của nhà mạng.

Phương thức “hoán đổi SIM” sử dụng kỹ thuật yếu tố con người

Quá trình này có vẻ phức tạp, tuy nhiên nó lại có tính hiệu quả cao một khi thành công. Trong quá khứ, Cloudflare đã từng bị “hack” bằng kỹ thuật này khi nhà mạng AT&T (nhà mạng cung cấp dịch vụ của Cloudflare) đã bị đánh lừa và chuyển hướng thư thoại, sau đó tin tặc có được quyền truy cập vào tài khoản email thông qua một mã xác thực 2FA được gửi vào hộp thư thoại.

Trong nhiều trường hợp, mã xác thực hai yếu tố còn có thể bị các ứng dụng có mã độc được cài đặt trong máy người dùng, đa số là Android, đọc được nếu chẳng may cấp quyền truy cập tin nhắn cho ứng dụng. Đây cũng là một trong những cách phổ biến được tin tặc sử dụng, bằng cách lừa người dùng cài đặt ứng dụng trái phép, sau đó hỏi quyền truy cập SMS. Nếu người dùng đồng ý, toàn bộ dữ liệu tin nhắn có trong máy đều có thể bị ứng dụng truy cập và gửi về một máy chủ nào đó.

Sử dụng các cơ chế xác thực 2FA thay thế

Tin nhắn SMS đã được chứng minh là phương thức xác thực kém bảo mật. Để tránh các vụ tấn công mạng nhắm vào người dùng cuối, dưới đây là các phương thức xác thực hai yếu tố thay thế cho SMS được các chuyên gia bảo mật khuyên dùng.

- Thiết bị xác thực hai yếu tố: Phương thức này phụ thuộc vào một thiết bị phần cứng vật lý có thể cho phép quyền truy cập vào tài khoản. Thiết bị này sẽ tạo ra một mã xác thực và người dùng cần phải điền mật khẩu và mã xác thực mới có thể truy cập vào tài khoản. Tất nhiên, phương thức này sẽ không hiệu quả nếu người dùng làm mất thiết bị.

- Ứng dụng xác thực hai yếu tố: Hiện tại có khá nhiều phần mềm cung cấp tính năng tạo mã xác thực. Giống với xác thực bằng phần cứng thì xác thực bằng ứng dụng cũng sẽ cung cấp một mã xác thực cho người dùng dùng để đăng nhập vào tài khoản. Một trong những ứng dụng phổ biến nhất là Google Authenticator.

- Xác thực dựa trên địa chỉ IP: Đây là cách được nhiều website sử dụng khi chỉ cho phép người dùng truy cập vào tài khoản với một địa chỉ IP tin cậy. Phương thức này hạn chế tối đa khả năng xâm nhập tài khoản từ người lạ.

Ra mắt website chống tin nhắn, cuộc gọi rác

Người dùng có thể cập nhật tin tức, phản ánh tin nhắn hoặc cuộc gọi rác thông qua website vừa được Cục An toàn thông tin, Bộ TT&TT ra mắt.

Ngày 24/11, Trung tâm Ứng cứu Khẩn cấp Không gian mạng Việt Nam (VINCERT/CC) thuộc Cục An toàn Thông tin, Bộ Thông tin và Truyền thông (Bộ TT&TT) đã giới thiệu Cổng thông tin điện tử phòng chống tin nhắn, email, cuộc gọi rác tại địa chỉ chongthurac.vn.

Thông qua website, người dùng có thể cập nhật tin tức, phản ánh tin nhắn hoặc cuộc gọi rác, đăng ký tham gia danh sách không quảng cáo (DoNotCall). Trong khi đó, các tổ chức có thể tra cứu, tham khảo thủ tục cấp tên định danh (Brand Name) dành cho tin nhắn.

Website chống thư rác cho phép người dùng cập nhật thông tin, phản ánh tin nhắn vi phạm Nghị định 91.

Cổng thông tin có 6 tính năng gồm: Tin tức, Quản lý tên định danh, Phản ánh tin nhắn hoặc cuộc gọi rác, Đăng ký danh sách không quảng cáo, Quản lý danh sách đen địa chỉ IP và Hỗ trợ.

Để phản ánh tin nhắn hoặc cuộc gọi rác, người dùng nhấn vào nút Phản ánh tin nhắn rác, cuộc gọi rác . Trong màn hình tiếp theo, chọn loại thông tin cần phản ánh (tin nhắn, email hoặc cuộc gọi), nguồn phát tán, số điện thoại người phản ánh, nội dung tin nhắn, ảnh chụp màn hình bằng chứng rồi nhấn Phản ánh . Sau đó, nhập mã OTP được gửi về điện thoại, nhấn Hoàn thành để gửi báo cáo nội dung rác.

Nếu muốn đăng ký tham gia danh sách không quảng cáo (DNC), chọn tính năng Đăng ký DNC từ cổng thông tin. Trong màn hình tiếp theo, gõ số điện thoại muốn đăng ký rồi nhập mã OTP để hoàn tất. Website cũng cho phép tra cứu số điện thoại nằm trong danh sách DNC hay chưa.

Trước đây, người dùng có thể phản ánh tin nhắn rác, đăng ký tham gia danh sách DNC bằng cách gửi tin nhắn đến đầu số 5656. Từ tháng 5, Cục An toàn thông tin đã vận hành hệ thống phản ánh trên Internet. Thông qua cổng thông tin vừa được ra mắt, người dùng có thể truy cập trang phản ánh dễ dàng hơn.

Cổng thông tin dẫn đến trang web giúp người dùng phản ánh tin nhắn, cuộc gọi rác.

Với cá nhân hoặc tổ chức, tính năng Quản lý tên định danh cho phép tra cứu SMS Brand Name do Cục An toàn Thông tin cấp hoặc nhà mạng khai báo. Theo Nghị định 91/2020/NĐ-CP, mọi cá nhân, tổ chức có thể đăng ký, sử dụng tên định danh với số lượng không giới hạn để quảng cáo, gọi điện trong 3 năm.

Cổng thông tin điện tử phòng chống tin nhắn, email, cuộc gọi rác còn đăng tải thông tin chỉ đạo, cảnh báo về tin nhắn, cuộc gọi, email rác hoặc lừa đảo, các hoạt động thanh tra, giải pháp công nghệ liên quan đến phòng chống tin nhắn, email và cuộc gọi rác.

Do liên kết với hệ thống quản lý danh sách không quảng cáo, VINCERT/CC cũng sẽ cập nhật, công bố danh sách địa chỉ IP nằm trong danh sách đen do phát tán tin nhắn rác. Khi nằm trong danh sách này, địa chỉ IP sẽ không thể gửi hoặc nhận email nữa.

Được ban hành ngày 20/8/2020, Nghị định 91/2020/NĐ-CP đã hoàn thiện hành lang pháp lý về chống tin nhắn, email và cuộc gọi rác, giúp tăng cường việc quản lý trong lĩnh vực an toàn thông tin nói chung và chống email, tin nhắn, cuộc gọi rác nói riêng.

Theo Khoản 3, Điều 7 của nghị định, người quảng cáo, doanh nghiệp cung cấp dịch vụ Internet, viễn thông không được gọi điện, gửi tin nhắn quảng cáo đến số điện thoại nằm trong danh sách DNC.

Điều 32 của nghị định nêu rõ hành vi gửi tin nhắn, gọi điện thoại quảng cáo khi chưa được đồng ý hoặc khi người sử dụng đã từ chối nhận quảng cáo bị phạt 5-10 triệu đồng. Trong khi đó, gửi tin nhắn, gọi điện quảng cáo đến các số điện thoại nằm trong danh sách DNC có thể bị phạt 80-100 triệu đồng, thậm chí thu hồi số điện thoại vi phạm.

Tin nhắn spam, quảng cáo app cờ bạc "tấn công" người dùng iPhone Thời gian gần đây, nhiều người dùng iPhone phản ánh rằng họ lại bị "tấn công" bởi hàng loạt tin nhắn quảng cáo thông qua nền tảng iMessage. "Hầu như ngày nào tôi cũng nhận được một hoặc hai tin nhắn spam qua iMessage. Tôi đã phải tạm tắt tính năng nhắn tin qua iMessage để tránh bị làm phiền", anh Quang Hà,...

Bạn thấy bài viết này có hữu ích không?

Có

Không

Tin liên quan

Xem thêm Share

Xem nhiều

iPhone tân trang liệu có bền như iPhone mới?08:13

Sự thật về ống kính camera iPhone00:36

Cẩn trọng khi nhấp vào liên kết hủy đăng ký email09:48

Tiêu điểm

Tin đang nóng

Tin mới nhất

Vì sao Apple Intelligence vẫn chưa thể sánh vai cùng Galaxy AI?

14:34:14 13/06/2025

Theo SamMobile , Apple Intelligence là ngôi sao tại Hội nghị các nhà phát triển toàn cầu của Apple (WWDC) 2025, nhưng sự hào hứng nhanh chóng biến thành nỗi thất vọng cho hàng triệu người dùng.

Điều gì xảy ra với iPhone nếu logo Apple luôn nhấp nháy

12:12:47 13/06/2025

Những vấn đề này có thể từ nhỏ như màn hình không xoay được hay bàn phím bị đơ, cho đến những sự cố nghiêm trọng hơn như iPhone bị kẹt ở chế độ SOS hoặc logo Apple liên tục nhấp nháy mà không thể khởi động.

One UI 8 beta 2 'đổ bộ' Galaxy S25 với hàng loạt cải tiến

12:04:19 13/06/2025

Theo Android Authority, chỉ vài tuần sau khi phát hành bản beta đầu tiên, Samsung đã nhanh chóng tung ra bản cập nhật One UI 8 beta 2 cho dòng flagship Galaxy S25.

Cake tạo bước đột phá chuyển tiền nhanh AI từ hình ảnh và tin nhắn

15:51:07 11/06/2025

Cake cũng ứng dụng công nghệ AI để tự động nhận diện và điền cùng lúc đến 4 trường thông tin, bao gồm ngân hàng, số tài khoản, số tiền và nội dung chuyển khoản.

Google ra mắt Android 16 với loạt nâng cấp phần mềm quan trọng

12:44:43 11/06/2025

Hệ điều hành mới cũng hỗ trợ ảnh chụp màn hình HDR, nhóm thông báo tự động và nhiều tính năng nhỏ khác hướng tới việc cá nhân hóa và tối ưu hóa hiệu năng toàn hệ thống.

Người dùng iPhone sẽ có pin mạnh hơn nhờ iOS 26

11:38:25 11/06/2025

Trong mô tả về bản beta dành cho nhà phát triển của iOS 26, Apple cho biết tính năng mới có tên Adaptive Power này là cách để iPhone thực hiện những điều chỉnh nhỏ về hiệu suất .

Samsung đưa ra cảnh báo quan trọng đến người dùng

11:35:50 11/06/2025

Samsung chuẩn bị triển khai chính sách mới có tên Sử dụng hoặc Mất , có thể dẫn đến việc xóa hàng triệu tài khoản không hoạt động trong vòng 24 tháng.

iOS 26 mang đến ứng dụng Camera được mong đợi từ lâu

11:25:51 11/06/2025

Theo TechRadar , Apple dường như đã lắng nghe những phàn nàn của người dùng về một giao diện camera ngày càng rối rắm. Bản cập nhật iOS 26 hứa hẹn một cuộc dọn dẹp lớn, giúp trải nghiệm chụp ảnh trở nên trực quan hơn.

Android 16 chính thức phát hành

11:21:02 11/06/2025

Google xác nhận thông tin này trên trang X của Android Developers, đánh dấu một trong những lần hiếm hoi hãng công bố ngày phát hành cụ thể chỉ một ngày trước khi ra mắt.

Những người trẻ bị AI thao túng: Từ cánh tay nối dài trở thành chiếc nạng

11:17:35 11/06/2025

Chỉ còn 2 tiếng nữa là đến hạn nộp bài tập lớn cuối cùng của đời sinh viên, nhưng thay vì những đêm miệt mài bên sách vở từ 2 tuần trước, Bình đã chọn ra lệnh cho ChatGPT vào phút chót.

Nvidia hứa hẹn AI sẽ 'giải cứu' ngành viễn thông

11:12:57 11/06/2025

Đơn vị gigawatt (GW) thường được dùng để đo nhu cầu trung tâm dữ liệu, nơi các mô hình AI xử lý và tạo ra phản hồi cho người dùng, vì nó phản ánh công suất điện cần thiết để vận hành hàng nghìn máy chủ, hệ thống làm mát và hạ tầng hỗ tr...