Vì sao dùng số điện thoại đăng kí Facebook lại không an toàn?

Các nhà nghiên cứu bảo mật gần đây đã chứng minh một lỗ hổng bảo mật có liên quan đến việc dùng số điện thoại đăng kí tài khoản Facebook có thể khiến hacker dễ dàng chiếm tài khoản của người dùng hơn. Việc để lộ số điện thoại dùng đăng kí mạng xã hội có thể giúp cho tin tặc khai thác mạng SS7 và đánh cắp tài khoản của người dùng, dù nạn nhân đã thực hiện cài đặt bao nhiêu lớp bảo mật hay đặt mật khẩu mạnh đến đâu.

SS7 là gì?

Mạng SS7 ngày nay đã trở thành mục tiêu tấn công của nhiều tin tặc cho dù có được phòng vệ bằng những lớp bảo mật tối tân nhất. Những yếu điểm trong thiết kế của SS7 đã tạp nên một làn sóng sửng sốt từ khi một nhóm các nhà nghiên cứu thuộc German Security Research Lab đưa ra lời cảnh báo từ năm 2014.

SS7 là một tập hợp các giao thức điện thoại được sử dụng để thiết lập hầu hết các cuộc gọi trong mạng PSTN với chức năng chính là thiết lập cuộc gọi, kết thúc cuộc gọi, chuyển đổi số, tính cước, SMS,... SS7 hiện được hơn 800 nhà mạng viễn thông sử dụng để trao đổi thông tin với nhau, thực hiện thanh toán liên mạng, chuyển vùng cũng như các dịch vụ khác.

Vấn đề của mạng SS7 là nó tin tưởng tất cả các tin nhắn được gửi qua hệ thống của mình bất kể những tin nhắn đó có nguồn gốc từ đâu. Chính vì vậy mà nhiều hacker có thể 'lừa' SS7 chuyển hết tin nhắn và cuộc gọi từ máy người bị hack sang máy của mình. Tất cả những gì hacker cần chỉ là số điện thoại của mục tiêu tấn công cùng một vài thông tin về thiết bị của họ mà thôi. Lỗ hổng của SS7 là nó không chỉ cho phép hacker cũng như các cơ quan tình báo nghe lén các cuộc gọi của người dùng và chặn đứng các tin nhắn SMS trên diện rộng mà còn có thể giúp họ đánh cắp các tài khoản mạng xã hội mà người dùng cung cấp số điện thoại.

Các nhà nghiên cứu từ Positive Technologies gần đây đã khám phá ra cách thức các hacker đánh cắp các tài khoản WhatsApp và Telegram và nay là Facebook – tất cả đều dùng cùng một mánh khóe như mô tả bên dưới.

Các bước để tin tặc hack tài khoản Facebook của bất cứ ai qua SS7:

Bước 1: Hacker truy cập vào Facebook,tìm đến tài khoản cần hack, bấm nút “Forgot account?” (Quên mật khẩu) trên trang chủ Facebook rồi được tin nhắn yêu cầu nhập vào số điện thoại của nạn nhân.

Bước 2: Hacker chỉ cần chuyển tin nhắn xác nhận có mã OTP về chính điện thoại hay máy tính của mình là đã có thể đăng nhập vào tài khoản Facebook của đối tượng một cách nhanh chóng.

Đây chính là vấn đề lớn cho những người dùng Facebook đã trót đăng ký bằng số điện thoại của mình. Ngoài Facebook, các nhà nghiên cứu còn chỉ ra rằng một số dịch vụ cũng sử dụng mã xác nhận người dùng gửi qua SMS như Gmail, Twitter cũng có thể có kẽ hở để hacker tấn công các tài khoản.

Tin nhắn được mã hóa đầu cuối trên ứng dụng Whats App

Khuyến cáo của các chuyên gia bảo mật về các biện pháp an toàn nên làm:

Trong khi các nhà mạng chưa thể giải quyết ngay được lỗ hổng này, người dùng có thể bảo vệ tài khoản của họ theo những cách sau:

- Không cung cấp số điện thoại của bạn cho các mạng xã hội. Khi cần tìm mật khẩu/khôi phục tài khoản, hãy chỉ cung cấp địa chỉ email.

- Chọn các cách xác thực tài khoản không sử dụng mã bảo mật gửi`qua SMS.

- Sử dụng các ứng dụng liên lạc có mã hóa đầu cuối (end-to-end encryption) để mã hóa dữ liệu của bạn trước khi chúng được gửi đi. Với mã hóa đầu cuối, trừ bạn và người nhận, tất cả nhà cung cấp dịch vụ chat lẫn các bên khác đều không thể xem được những thông tin bạn gửi. Hầu hết các ứng dụng chat hiện nay như Viber, WhatsApp, Telegram,.. đều đã trang bị mã hóa đầu cuối cho người dùng. Một số ứng dụng sẽ yêu cầu bạn bật tính năng này lên mới bắt đầu sử dụng được).

Xuân Dung