Internet

Tại sao bạn không nên dùng xác thực hai yếu tố bằng tin nhắn SMS

Tin nhắn SMS được chứng minh là kém bảo mật để sử dụng làm phương thức xác thực hai yếu tố.
21

Tin nhắn SMS được chứng minh là kém bảo mật để sử dụng làm phương thức xác thực hai yếu tố.

Cơ chế xác thực hai yếu tố (2FA – Two-factor Authentication) từ lâu đã được nhiều người tin dùng nhờ tính bảo mật cao. Cơ chế này thêm một bước xác thực thứ hai bên cạnh việc sử dụng mật khẩu để đăng nhập, từ đó giảm thiểu khả năng bị các tin tặc tấn công tài khoản, đặc biệt hữu dụng khi sử dụng với các nền tảng mạng xã hội như Facebook, Instagram, Google…

Một trong những phương thức xác thực hai yếu tố phổ biến nhất hiện tại là sử dụng tin nhắn SMS để nhận mã xác thực được gửi về số điện thoại đăng ký tài khoản của người dùng. Nghe thì có vẻ an toàn bởi sẽ chẳng có ai ngoài bản thân người dùng có được số điện thoại chính chủ trong tay, thế nhưng theo nhiều chuyên gia bảo mật, tin nhắn SMS không phải là một phương thức bảo mật an toàn và nó hoàn toàn có thể bị khai thác và giả mạo.

img_59387282f0088.png

Xác thực hai yếu tố bằng SMS

Bất chấp sự kém bảo mật của cơ chế SMS nhưng xác thực hai yếu tố bằng tin nhắn vẫn được sử dụng rộng rãi do tính đơn giản của phương thức này.

Cách tin tặc “hack” tin nhắn SMS

Về cơ bản, tin nhắn SMS dựa trên mạng viễn thông của các nhà mạng. Ban đầu, các hacker có nhiều cách để để xâm nhập vào hạ tầng mạng viễn thông của nhà mạng, tuy nhiên cách này đã bị coi là “lỗi thời” và không còn phù hợp. Thay vào đó, các tin tặc chuyển hướng sang khai thác người dùng.

sign-poster-logo-trademark-text-electronics-phone.jpg

Daniel Cid, nhà sáng lập của trang Sucuri Blog, cho biết không chỉ nhà mạng có hạ tầng bảo mật kém mà cả các nhà sản xuất điện thoại cũng vậy.

“Hộp thư thoại chỉ được bảo mật bởi mã PIN 4 số, và hầu hết nhà mạng đều cho phép người dùng truy cập hộp thư thoại từ xa.

Dễ dàng tấn công: Chỉ cần một vài thông tin cơ bản về nạn nhân là có thể reset mã PIN.

Dễ dàng bị giả mạo: Việc giả mạo tin nhắn SMS cực kỳ dễ. Tin nhắn SMS không có cơ chế bảo mật hay bất cứ chứng chỉ bảo mật nào để xác minh người gửi có an toàn hay không”.

Google hiện cũng đã nỗ lực để tìm ra phương thức bảo mật an toàn cũng như cách để xác minh người gửi SMS. Nếu bạn quan tâm có thể tham khảo chi tiết nội dung được đăng tải bởi Google ở đường dẫn này.

Các tin tặc có thể kết hợp nhiều cách thức lừa đảo khác nhau để khai thác thông tin từ nạn nhân, ví dụ như gửi một tin nhắn giả mạo tới nạn nhân mà trông có vẻ như được gửi từ một người gửi uy tín. Cách thức này hiện đang cực kỳ phổ biến tại Việt Nam do việc quản lý SMS Brandname (tin nhắn thương hiệu) chưa thực sự hiệu quả, cho phép các tin tặc có thể đăng ký Brandname bất kỳ, đa số là tên ngân hàng, ví dụ như “ACB”, “Vietcombank”, “VietinBanh”…

lua-dao-acb-2739-1612413829.jpg

Một ngân hàng tại Việt Nam bị giả mạo bằng cách thức đăng ký SMS Brandname giống hệt

Trong nhiều trường hợp, các tin tặc sẽ lừa người dùng thiếu cảnh giác để tự điền các thông tin cá nhân vào một trang web lừa đảo (phishing) với giao diện giống thật, sau đó một mã xác thực SMS được gửi tới số điện thoại của nạn nhân và yêu cầu người dùng điền mã xác thực vào trang web này.

Đó mới chỉ là một vài cách phổ biến đánh trúng sự thiếu hiểu biết của các nạn nhân. Với một vài tin tặc, kỹ thuật yếu tố con người (social engineering) được sử dụng trong nhiều trường hợp nhằm chiếm đoạt các thông tin cá nhân. Một trong những cách dễ dàng nhất là hoán đổi thông thẻ SIM.

Tại sao bạn không nên dùng xác thực hai yếu tố bằng tin nhắn SMS - Ảnh 4.

Với cách này, tin tặc sẽ thu thập thông tin về nạn nhân càng nhiều càng tốt, có thể là tên, ngày sinh, địa chỉ, số căn cước… Sau đó giả danh nạn nhân, sử dụng một chiếc điện thoại và thẻ SIM mới sau đó yêu cầu nhà mạng kích hoạt số điện thoại trên thẻ SIM đó. Nếu “trót lọt”, số điện thoại sẽ được chuyển sang thẻ SIM mới của tin tặc, từ đó cho phép tin tặc toàn quyền kiểm soát các tài khoản có sử dụng số điện thoại đăng ký của nạn nhân. Phương thức này chủ yếu lợi dụng sự lỏng lẻo trong khâu xác minh người dùng của nhà mạng.

Tại sao bạn không nên dùng xác thực hai yếu tố bằng tin nhắn SMS - Ảnh 5.

Phương thức “hoán đổi SIM” sử dụng kỹ thuật yếu tố con người

Quá trình này có vẻ phức tạp, tuy nhiên nó lại có tính hiệu quả cao một khi thành công. Trong quá khứ, Cloudflare đã từng bị “hack” bằng kỹ thuật này khi nhà mạng AT&T (nhà mạng cung cấp dịch vụ của Cloudflare) đã bị đánh lừa và chuyển hướng thư thoại, sau đó tin tặc có được quyền truy cập vào tài khoản email thông qua một mã xác thực 2FA được gửi vào hộp thư thoại.

Trong nhiều trường hợp, mã xác thực hai yếu tố còn có thể bị các ứng dụng có mã độc được cài đặt trong máy người dùng, đa số là Android, đọc được nếu chẳng may cấp quyền truy cập tin nhắn cho ứng dụng. Đây cũng là một trong những cách phổ biến được tin tặc sử dụng, bằng cách lừa người dùng cài đặt ứng dụng trái phép, sau đó hỏi quyền truy cập SMS. Nếu người dùng đồng ý, toàn bộ dữ liệu tin nhắn có trong máy đều có thể bị ứng dụng truy cập và gửi về một máy chủ nào đó.

Sử dụng các cơ chế xác thực 2FA thay thế

Tin nhắn SMS đã được chứng minh là phương thức xác thực kém bảo mật. Để tránh các vụ tấn công mạng nhắm vào người dùng cuối, dưới đây là các phương thức xác thực hai yếu tố thay thế cho SMS được các chuyên gia bảo mật khuyên dùng.

– Thiết bị xác thực hai yếu tố: Phương thức này phụ thuộc vào một thiết bị phần cứng vật lý có thể cho phép quyền truy cập vào tài khoản. Thiết bị này sẽ tạo ra một mã xác thực và người dùng cần phải điền mật khẩu và mã xác thực mới có thể truy cập vào tài khoản. Tất nhiên, phương thức này sẽ không hiệu quả nếu người dùng làm mất thiết bị.

Tại sao bạn không nên dùng xác thực hai yếu tố bằng tin nhắn SMS - Ảnh 6.

– Ứng dụng xác thực hai yếu tố: Hiện tại có khá nhiều phần mềm cung cấp tính năng tạo mã xác thực. Giống với xác thực bằng phần cứng thì xác thực bằng ứng dụng cũng sẽ cung cấp một mã xác thực cho người dùng dùng để đăng nhập vào tài khoản. Một trong những ứng dụng phổ biến nhất là Google Authenticator.

Tại sao bạn không nên dùng xác thực hai yếu tố bằng tin nhắn SMS - Ảnh 7.

– Xác thực dựa trên địa chỉ IP: Đây là cách được nhiều website sử dụng khi chỉ cho phép người dùng truy cập vào tài khoản với một địa chỉ IP tin cậy. Phương thức này hạn chế tối đa khả năng xâm nhập tài khoản từ người lạ.

Nguồn: https://genk.vn/tai-sao-ban-khong-nen-dung-xac-thuc-hai-yeu-to-bang-tin-nhan-sms-20211130003529303.chn

Internet

Tin nhắn giả trên mạng xã hội: Công cụ nguy hiểm tấn công cá nhân và doanh nghiệp

Dễ dàng tạo được tin nhắn giả, sau đó nhờ sự lan toả của mạng xã hội, những tin nhắn này trở thành công cụ nguy hiểm tấn công cá nhân và doanh nghiệp.
47

Dễ dàng tạo được tin nhắn giả, sau đó nhờ sự lan toả của mạng xã hội, những tin nhắn này trở thành công cụ nguy hiểm tấn công cá nhân và doanh nghiệp.

Dễ dàng tạo tin nhắn giả

“Nếu như trước đây, một người muốn tạo ra các tin nhắn giả để lan truyền các đoạn chat trên mạng xã hội như Facebook thường phải lập ra 2 tài khoản trên 2 thiết bị, hay sử dụng 2 số điện thoại để nhắn tin cho nhau, giờ đây mọi việc rất đơn giản. Người dùng chỉ cần dùng chiếc điện thoại của mình lên các kho ứng dụng có thể tải được rất nhiều ứng dụng cho phép tự tạo ra các tài khoản nhắn tin với nhau, nếu không biết dùng ứng dụng thì có thể vào các trang cho phép tạo tài khoản nhắn tin cho nhau ngay chính trên trình duyệt điện thoại của mình”, anh Nguyễn Đức Khôi, một người chuyên cung cấp các dịch vụ trên mạng xã hội Facebook tại TP.HCM cho biết.

Tin nhắn giả trên mạng xã hội: Công cụ nguy hiểm tấn công cá nhân và doanh nghiệp - Ảnh 1.

Dễ dàng tạo ra tin nhắn giả mạo từ các công cụ trên mạng

Người viết cũng đã tiến hành vào các kho ứng dụng tìm kiếm từ khoá “Fake Messenger” trên cả kho ứng dụng Google Play và App Store, ngay lập tức hàng loạt ứng dụng hiện ra và có thể tải về để sử dụng dễ dàng. Các ứng dụng này cho phép người dùng tự tạo tin nhắn chat với nhau với nhiều giao diện như tin nhắn điện thoại, tin nhắn Facebook hay cả tin nhắn Snapchat…

Bên cạnh đó, trên mạng cũng xuất hiện rất nhiều các bài viết hướng dẫn người dùng một cách chi tiết và tỉ mỉ, khiến họ có thể thực hiện tạo các tin nhắn giả một cách dễ dàng.

Công cụ nguy hiểm trong việc tấn công cá nhân và doanh nghiệp

Với công cụ tạo tin nhắn ở trên, bên cạnh nhiều người sử dụng để tạo ra các đoạn chat có nội dung vui vẻ, sau đó đăng lên các Fanpage hay group trên mạng xã hội Facebook để câu tương tác như like, comment và share…  thì còn xuất hiện nhiều tin nhắn được tạo từ các công cụ ở trên để tìm cách tấn công cá nhân và doanh nghiệp xuất hiện nhan nhản trên Facebook. Với việc lợi dụng mạng xã hội có khả năng tạo “trend” (xu hướng) và lan rộng với tốc độ nhanh chóng, nhiều kẻ xấu đã tạo ra các nội dung tin nhắn giả mạo chat qua lại giữa cá nhân với nhau, hay các nhân với quản trị viên doanh nghiệp, nhằm mục đích gây ảnh hưởng xấu đến cá nhân và doanh nghiệp trong thời gian qua.

Tin nhắn giả trên mạng xã hội: Công cụ nguy hiểm tấn công cá nhân và doanh nghiệp - Ảnh 2.

Một tin nhắn giả mạo vui vẻ được tạo trên iPhone

Trong đó, những tin nhắn qua lại giả mạo này thường nhắm đến những người nổi tiếng trên mạng, các doanh nghiệp đang gặp khủng hoảng truyền thông hay cả các thầy, cô giáo đang dạy ở các trường Trung học hoặc Đại học… Những nội dung tin nhắn chat qua lại này thường liên quan đến các vấn đề “nhạy cảm” như tiền bạc, gạ tình đổi điểm…

Ông Nguyễn Duy Vĩ, Giám đốc công ty truyền thông Buzi cho biết, tác hại của các tin nhắn giả mạo được tung lên Facebook là rất rõ ràng và ngày càng trở thành một công cụ nguy hiểm trong việc tấn công cá nhân hoặc doanh nghiệp với mưu đồ xấu. Đối với cá nhân thì những tin nhắn giả mạo làm đảo lộn cuộc sống cá nhân, thậm chí hủy hoại các mối quan hệ gia đình. Người bị tấn công thường chịu công kích về mặt tinh thần cũng như áp lực từ cộng đồng mạng rất lớn vì những thứ họ chưa từng làm hoặc chưa từng biết tới.

Đối với doanh nghiệp thì thiệt hại không dừng lại ở tinh thần mà còn cả vật chất khi các khách hàng tiềm năng sẽ dè dặt nếu muốn hợp tác, hoặc cụ thể hơn là giá trị công ty sẽ bị mất đi rất nhiều. Cho dù sau đó doanh nghiệp có nỗ lực cỡ nào thì cũng sẽ khó và khá lâu để khôi phục lại uy tín và vị thế ban đầu.

Góp phần vào việc này có thể kể đến đóng góp không nhỏ của một đại bộ phận người dùng mạng xã hội có xu hướng và sở thích công kích cá nhân, doanh nghiệp một cách mù quáng mà không kiểm tra thông tin một cách kỹ lưỡng. Nên khi các tin nhắn giả mạo xuất hiện thì nhóm người dùng này sẽ lập tức “ném đá” và chia sẻ mà không cần suy nghĩ. Đây là một thực trạng rất đang quan ngại về văn hóa hành xử trên mạng xã hội.

Ông Huỳnh Lê Khánh, Giám đốc điều hành Golden Communication Group từng chứng kiến một tài khoản ảo tạo dựng nên một bài viết sai lệch về một thanh niên đang được quan tâm trong một chiến dịch. Sau đó, tài khoản ấy chia sẻ bài viết của mình vào các nhóm có lượng thành viên đông, và có xu hướng chống đối đến đề tài mà thanh niên đó phát biểu. Và các thành viên trong nhóm này bắt đầu thảo luận tiêu cực và chia sẻ về trang mình những thông tin diễn dịch sai lệch một cách có chủ đích. Và cứ như thế những thông tin đó được truyền đi. Khi kiểm tra lại nguồn tin ban đầu thì tài khoản ảo đấy đã xoá bài viết của mình. Và đây là một chiêu thức không mới mẻ để đánh vào một cá nhân hay doanh nghiệp.

“Rõ ràng rằng chúng ta thấy nó gây ảnh hưởng rất lớn không chỉ đối với danh dự, uy tín của một cá nhân hay tổ chức. Những thông tin thiếu, thông tin sai đó còn gây ảnh hưởng nghiêm trọng hơn, ở khía cạnh gây mâu thuẫn, chia rẽ và kích động những hành động thù địch cá nhân, tổ chức, giới tính, phe phái…”, ông Khánh nhấn mạnh.

Để đối phó với vấn đề ngụy tạo tin nhắn theo ông Nguyễn Duy Vĩ, ngoài việc doanh nghiệp và cá nhân cần sử dụng mạng xã hội một cách cẩn thận hơn như tránh để lộ quá nhiều về đời sống riêng tư, tránh đưa những thông tin tiêu cực về bản thân hay doanh nghiệp mình. Về phía doanh nghiệp thì cần có các công cụ để rà soát thông tin trên mạng xã hội và phối hợp chặt chẽ các cơ quan truyền thông báo chí cũng như các cơ quan quản lý để có thể xử lý các tin nhắn giả mạo một cách hiệu quả và kịp thời.

Ông Huỳnh Lê Khánh, cũng chia sẻ, trên thế giới cũng đã có nhiều nghiên cứu và đề nghị về cách thức để hạn chế các vấn đề này. Một số giải pháp được đặt ra là nâng cao giá trị thông tin, nâng cao sự phức tạp của một lần chia sẻ thông tin, tạo hệ thống kiểm tra thông tin. Các trung tâm kiểm tra sự thật (Fact-check) được thiết lập cũng sẽ giúp người dùng mạng xã hội có cơ sở đối chiếu thông tin. Bên cạnh đó, việc khuyến nghị mỗi cá nhân, tổ chức cần thiết lập được hệ thống hiện diện trên nền tảng kỹ thuật số (digital footprint) của mình mạnh mẽ, thông tin thường xuyên và đúng lúc cho các đối tượng liên quan của mình cũng là một điều cần thực hiện. Và cuối cùng, vai trò của các hãng thông tấn, báo chí lớn ở mỗi quốc gia cần có cơ sự phản ứng nhanh với tin giả, giúp người đọc có được nguồn thông tin tốt, đúng thì sẽ giúp định hướng lại được dư luận, đúng theo bản chất và vai trò quý báo của báo chí chính thống.

Về vấn đề này anh Nguyễn Đức Khôi cho rằng, điều đầu tiên mọi người cần phải hiểu chỉ là một tin nhắn hay đoạn chat trên mạng xã hội thì không phải là bằng chứng, người dùng không nên tin vào đó. Nó sẽ là sự thật nếu như chúng ta có trong tay điện thoại của 2 người thì mới chính xác. Cho nên, với những thông tin dạng này chỉ có cơ quan chức năng, hay lực lượng an ninh mạng mới có thể kiểm tra được.

“Nhiều khi người ta bảo bị hacker tấn công hay mất điện thoại thì không thể nào xác minh các trường hợp này”, anh Khôi cho biết.

Nguồn: https://genk.vn/tin-nhan-gia-tren-mang-xa-hoi-cong-cu-nguy-hiem-tan-cong-ca-nhan-va-doanh-nghiep-2021103111291223.chn