Việc sử dụng số điện thoại để đăng ký tài khoản Facebook hay các ứng dụng dịch vụ khác có thể tiềm ẩn nhiều nguy cơ hơn bạn tưởng.
“Hack tài khoản Facebook” là một trong những từ khóa được tìm kiếm nhiều nhất hiện nay. Với các lớp bảo mật tăng cường, đánh cắp tài khoản người khác không phải một việc dễ dàng. Thế nhưng gần đây, các nhà nghiên cứu đã chứng minh được một lỗ hổng có thể giúp hacker đánh cắp được vào tài khoản của bạn chỉ nhờ số điện thoại mà bạn dùng để đăng ký Facebook.
SS7 là một tập hợp các giao thức điện thoại được sử dụng để thiết lập hầu hết các cuộc gọi trong mạng PSTN với chức năng chính là thiết lập cuộc gọi, kết thúc cuộc gọi, chuyển đổi số, tính cước, SMS,... SS7 hiện được hơn 800 nhà mạng viễn thông sử dụng để trao đổi thông tin với nhau, thực hiện thanh toán liên mạng, chuyển vùng cũng như các dịch vụ khác.
Điểm yếu của SS7 là nó không chỉ cho phép hacker cũng như các cơ quan tình báo nghe lén các cuộc gọi của người dùng và chặn đứng các tin nhắn SMS trên diện rộng mà còn có thể giúp họ đánh cắp các tài khoản mạng xã hội mà người dùng cung cấp số điện thoại.
Các nhà nghiên cứu từ Positive Technologies gần đây đã khám phá ra cách thức các hacker đánh cắp các tài khoản WhatsApp và Telegram và nay là Facebook – tất cả đều dùng cùng một mánh khóe.
Mạng SS7 nay đã trở thành mục tiêu tấn công của nhiều tin tặc cho dù có được phòng vệ bằng những lớp bảo mật tối tân nhất. Những yếu điểm trong thiết kế của SS7 đã được dấy lên từ khi một nhóm các nhà nghiên cứu thuộc German Security Research Lab đưa ra lời cảnh báo từ năm 2014.
Dưới đây là cách hack tài khoản Facebook của bất cứ ai qua SS7:
Đầu tiên, hacker sẽ bấm vào nút “Forgot account?” (Quên mật khẩu) trên trang chủ Facebook rồi được yêu cầu điền vào số điện thoại của nạn nhân. Sau đó, các hacker chỉ cần chuyển tin nhắn xác nhận có mã OTP về chính điện thoại hay máy tính của họ là đã có thể log in vào tài khoản Facebook của đối tượng một cách nhanh chóng.
Đây chính là vấn đề lớn cho những người dùng Facebook đã trót đăng ký bằng số điện thoại của mình. Ngoài Facebook, các nhà nghiên cứu còn chỉ ra rằng một số dịch vụ cũng sử dụng mã xác nhận người dùng gửi qua SMS như Gmail, Twitter cũng có thể có kẽ hở để hacker tấn công các tài khoản.
Trong khi các nhà mạng chưa thể giải quyết ngay được lỗ hổng này, người dùng có thể bảo vệ tài khoản của họ theo những cách sau:
- Không cung cấp số điện thoại của bạn cho các mạng xã hội. Khi cần tìm mật khẩu/khôi phục tài khoản, hãy chỉ cung cấp địa chỉ email.
- Chọn các cách xác thực tài khoản không sử dụng mã bảo mật gửi`qua SMS.
- Sử dụng các ứng dụng liên lạc có mã hóa đầu cuối (end-to-end encryption) để mã hóa dữ liệu của bạn trước khi chúng được gửi đi. Với mã hóa đầu cuối, trừ bạn và người nhận, tất cả nhà cung cấp dịch vụ chat lẫn các bên khác đều không thể xem được những thông tin bạn gửi. Hầu hết các ứng dụng chat hiện nay như Viber, WhatsApp, Telegram,.. đều đã trang bị mã hóa đầu cuối cho người dùng. Một số ứng dụng sẽ yêu cầu bạn bật tính năng này lên mới bắt đầu sử dụng được).
Thêm bình luận