Như các bạn đã biết, Facebook là mạng xã hội “bất li thân” của hầu như tất cả chúng ta trong thời buổi công nghệ càng ngày càng phát triển. Facebook ngày càng tỏ ra quan trọng với mỗi chúng ta, vì vậy việc bảo mật tài khoản cũng là vấn đề rất được quan tâm trong thời gian gần đây. Cách bảo vệ hầu như khá hoàn hảo đó là bảo mật bằng hai lớp thông qua số điện thoại. Tuy nhiên, tình hình an ninh mạng diễn ra ngày càng phức tạp, và cách bảo mật đó giờ đây đã tỏ ra là một “con dao hai lưỡi”.
Tài khoản Facebook của bạn có cập nhật số điện thoại chưa? Hay bạn có dùng số điện thoại để đăng ký/đăng nhập Facebook không?
Hình minh họa: hiển thị số điện thoại công khai trên Facebook
Nếu có thì đây là một may mắn của bạn khi đọc được bài viết này. Bởi vì như đã nói ở trên, tài khoản của bạn sẽ bị tin tặc hack một cách nhanh chóng chỉ cần số điện thoại của bạn lọt vào tay họ.
Thật vậy, chỉ cần biết một số điện thoại, các tin tặc sẽ có thể hack một tài khoản tương ứng với số điện thoại đó một cách dễ dàng thông qua SS7.
SS7 là gì?
SS7 (Signaling System # 7) là tập hợp các giao thức điện thoại được sử dụng để thiết lập hầu hết các cuộc gọi trong mạng PSTN. Chức năng chính của SS7 là thiết lập cuộc gọi, kết thúc cuộc gọi, chuyển đổi số, tính cước, SMS. Nó được các cơ quan tình báo sử dụng để nghe lén và chặn các tin nhắn trên diện rộng. Và giờ đây, nó đã trở nên rất nguy hiểm khi bị tin tặc sử dụng để đánh cắp các tài khoản có liên kết số điện thoại chứ không chỉ riêng Facebook.
Đánh cắp như thế nào?
Tất cả những gì tin tặc cần đó là số điện thoại của bạn. Tin tặc sẽ “đánh lừa” SS7 chuyển hết tin nhắn và cuộc gọi từ máy người bị hack sang máy của mình bằng cách sau:
Đầu tiên, tin tặc nhấn vào nút “Forgot account?” (Quên mật khẩu) trên trang chủ Facebook sau đó được yêu cầu điền vào số điện thoại. Tin tặc chỉ cần chuyển tin nhắn xác nhận có mã OTP về chính điện thoại hay máy tính của họ là đã có thể hack thành công.
Thật dễ dàng và nhanh chóng. Đây cũng là cách thức để đánh cắp các tài khoản khác như Gmail, Twitter, WhatsApp, Viber,…
Tại sao lỗ hỏng không được vá?
Mặc dù đã biết SS7 dễ bị hack từ năm 2008, nhưng các mạng vẫn không vá nó? Câu trả lời liên quan đến chính trị và sự năng động toàn cầu. Nhiều chính phủ muốn giữ các lỗ hổng để họ có thể do thám các vụ khủng bố hay các cuộc tấn công nhờ vào nghe lén. Trong lịch sử đã có nhiều cuộc tấn công không thất bại nhờ các lỗ hỏng này. Các miếng vá cho lỗ hổng SS7 phải được bắt đầu đối với mọi nhà mạng trên Thế giới nhưng điều này cực kỳ khó khăn. Trong năm 2014, các phương tiện truyền thông đã có những báo cáo lỗ hổng của giao thức SS7 mà cả các cơ quan chính phủ và các tổ chức phi nhà nước có thể theo dõi các chuyển động của người sử dụng điện thoại di động từ hầu như bất cứ nơi nào trên thế giới với tỷ lệ thành công khoảng 70%. Và như đã nói, tình hình an ninh mạng nói chung cũng như bảo mật các tài khoản cá nhân nói riêng đang bị đe dọa bởi lỗ hổng này khi bị tin tặc lợi dụng.
Cách bảo vệ tài khoản?
Tuy vậy, chúng ta cũng có cách để chống lại sự “xấu xa” đó của tin tặc bằng các cách sau:
1/ Không cung cấp số điện thoại của bạn cho các mạng xã hội. Khi cần tìm mật khẩu/khôi phục tài khoản, hãy chỉ cung cấp địa chỉ email.
2/ Chọn các cách xác thực tài khoản không sử dụng mã bảo mật gửi qua SMS.
3/ Sử dụng các ứng dụng liên lạc có mã hóa đầu cuối (end-to-end encryption) để mã hóa dữ liệu của bạn trước khi chúng được gửi đi. Với mã hóa đầu cuối, trừ bạn và người nhận, tất cả nhà cung cấp dịch vụ chat lẫn các bên khác đều không thể xem được những thông tin bạn gửi. Hầu hết các ứng dụng chat hiện nay như Viber, WhatsApp, Telegram,.. đều đã trang bị mã hóa đầu cuối cho người dùng. Một số ứng dụng sẽ yêu cầu bạn bật tính năng này lên mới bắt đầu sử dụng được).
Hình minh họa: end-to-end encryption của Viber
Tham khảo The Hacker News
