Năm 2019 đã xảy một sự kiện gây chú ý tại Mỹ khi Giám đốc điều hành Twitter Jack Dorsey đăng tải một dòng trạng thái trên Twitter nhưng sau đó vị CEO này cho biết thực tế không làm điều đó.
Theo một báo cáo chi tiết của Tạp chí Wired, CEO Twitter là nạn nhân của một vụ hoán đổi SIM (SIM swap), nghĩa là tin tặc lấy tài khoản điện thoại di động của vị CEO này và sau đó sử dụng nó để truy cập vào các tài khoản khác của ông, bao gồm cả tài khoản Twitter.
Tất nhiên, CEO Dorsey không phải là nạn nhân duy nhất của tấn công hoán đổi SIM. Theo tờ dailyguardian, riêng tại Vương quốc Anh, thiệt hại trung bình do gian lận trong việc hoán đổi SIM đã lên tới gần 3 triệu bảng mỗi năm.
Đã có rất nhiều báo cáo về việc tin tặc sử dụng phương thức hoán đổi SIM để đánh cắp hàng trăm triệu đô la tiền điện tử. Năm ngoái, Cơ quan tình báo liên bang Mỹ (FBI) đã phải cảnh báo về những rủi ro của việc hoán đổi SIM. Đây là một chiến thuật phổ biến để vượt qua biện pháp bảo mật như xác thực hai yếu tố.
Uỷ ban Truyền thông Liên bang Mỹ (FCC) từ đầu năm đã cho biết: "FCC đã nhận được rất nhiều lời phàn nàn từ người tiêu dùng, những người đã phải chịu đựng sự khốn khổ, bất tiện và tổn thất tài chính đáng kể do việc hoán đổi SIM và gian lận chuyển thẻ. Ngoài ra, các vụ vi phạm dữ liệu gần đây đã làm lộ lọt thông tin khách hàng có khả năng khiến việc thực hiện các loại tấn công trở nên dễ dàng hơn".
Những lo ngại về gian lận hoán đổi SIM xuất hiện vào năm ngoái khi các nhà nghiên cứu tại Đại học Princeton báo cáo kết quả nghiên cứu của mình. Theo đó, 30 trường hợp họ thực hiện hoán đổi SIM thì đều có thể chuyển số điện thoại sang thẻ SIM mới thành công và các nhà nghiên cứu đã liên hệ với ba nhà mạng Verizon, AT&T và T-Mobile để thông tin về sự việc này.
Những nỗ lực của cơ quan quản lý
Cũng từ đầu năm nay, FCC cho biết cơ quan này sẽ thực hiện điều tra để xem liệu có cần ban hành các quy định mới nhằm ngăn chặn việc hoán đổi SIM hay không. Cả ba nhà mạng AT&T, T-Mobile và Verizon cũng đã rà soát các tài khoản điện thoại của khách hàng và nhắn tin được sử dụng như là yếu tố thứ hai trong quy trình xác thực hai yếu tố để bảo mật các tài khoản từ tài khoản mạng xã hội đến tài khoản ngân hàng.
"Chúng tôi tin rằng thông tin mạng độc quyền của khách hàng (customer proprietary network information - CPNI) và các quy định chuyển số điện thoại của FCC ban hành đã rõ ràng đối với các nhà mạng, giúp ngăn chặn việc tráo đổi SIM và gian lận thẻ", FCC đã thông tin về kết quả của việc tìm hiểu vấn đề này.
FCC cho hay: "Chúng tôi đề xuất các nhà mạng không được thực hiện hoán đổi SIM trừ khi đã sử dụng phương pháp xác thực an toàn cho khách hàng của mình. Chúng tôi cũng dự kiến sửa đổi các quy định CPNI để yêu cầu các nhà mạng xây dựng các quy trình cho việc ứng phó với các nỗ lực xác thực nhưng không thành công và thông báo cho khách hàng ngay lập tức bất kỳ các yêu cầu về thay đổi SIM nào".
FCC cũng xem xét các ý kiến về việc có nên áp đặt các yêu cầu đối với dịch vụ khách hàng, đào tạo và tính minh bạch, đặc biệt tập trung vào việc ngăn chặn gian lận hoán đổi SIM. "Chúng tôi cũng dự kiến sửa đổi các quy định chuyển số điện thoại để chống lại gian lận, đồng thời tiếp tục khuyến khích cạnh tranh lành mạnh thông qua việc chuyển số điện thoại một cách minh bạch".
Nhà mạng Verizon đề xuất với FCC rằng: "Bất kỳ quy định mới nào cũng sẽ mang lại cho các nhà mạng khả năng linh hoạt trong việc ngăn chặn, phát hiện và phản ứng nhanh với các hoạt động gian lận, đồng thời không tạo gánh nặng không cần thiết cho thuê bao trong các giao dịch chuyển đổi SIM hợp pháp".
Giải pháp ứng phó của các nhà mạng
Dưới đây là một số phương pháp mà ba nhà mạng lớn của Mỹ đang thực hiện để bảo vệ khách hàng của mình khỏi tấn công hoán đổi SIM và các hành vi gian lận khác.
Nhà mạng AT&T
Trong nhiều trường hợp, các nhân viên bán hàng của AT&T không chỉ xem xét ID do chính phủ cấp mà thuê bao xuất trình mà có thể quét ID của khách hàng nhờ sử dụng công nghệ để tìm kiếm dấu hiệu xác thực.
AT&T đã tận dụng phân tích dữ liệu để phát triển một mô hình chấm điểm rủi ro phức tạp cho một số giao dịch trả sau. Mô hình này sẽ chỉ định điểm rủi ro giao dịch cụ thể theo thời gian thực đối với các giao dịch nhất định do khách hàng yêu cầu, bao gồm cả việc thay đổi và hoán đổi SIM. Điểm được chỉ định có thể kích hoạt các yêu cầu xác thực cao hơn hoặc các kỹ thuật phòng ngừa và giảm thiểu gian lận khác... trước khi cho phép hoàn thành giao dịch được yêu cầu.
Đối với các giao dịch đáp ứng một ngưỡng cụ thể trong mô hình rủi ro, AT&T có thể sử dụng một hoặc nhiều hình thức thông báo và các biện pháp liên quan. Tại một ngưỡng cụ thể, AT&T gửi thông báo SMS miễn phí - thông tin liên lạc một chiều được gửi để cảnh báo khách hàng trả sau rằng số điện thoại của họ thực hiện vào một giao dịch hoán đổi hoặc chuyển đổi SIM trái phép tiềm ẩn.
Những thông báo như vậy không làm dừng giao dịch mà cảnh báo cho khách hàng việc hoán đổi SIM trái phép đang tiềm ẩn. Ở ngưỡng rủi ro cao hơn, AT&T sử dụng xác nhận SMS - thông tin liên lạc hai chiều, miễn phí được gửi đến khách hàng trả sau để yêu cầu khách hàng chấp thuận hoặc từ chối giao dịch hoán đổi hoặc chuyển SIM đang chờ xử lý.
Nhà mạng Verizon
Những nỗ lực chăm sóc khách hàng (CSKH) của Verizon bao gồm các quy trình như khuyến khích khách hàng tải xuống và thiết lập ứng dụng MyVerizon để kích hoạt các tính năng bảo vệ quan trọng và xác thực dựa trên thông báo đẩy (push notification).
Khi sử dụng ứng dụng, khách hàng có thể dễ dàng thiết lập xác thực hai yếu tố để truy cập tài khoản trực tuyến và CSKH, đồng thời sử dụng thông tin sinh trắc học được lưu trữ cục bộ (ví dụ: vân tay hoặc ID khuôn mặt) để đăng nhập vào ứng dụng một cách an toàn)".
Verizon cũng đào tạo tất cả nhân viên CSKH việc xác định và ngăn chặn các nỗ lực hoán đổi SIM trái phép thông qua việc sử dụng nhiều giao thức xác thực. Bên cạnh đó, Verizon còn thực hiện mọi nỗ lực để xác thực khách hàng một cách chính xác và giảm thiểu số nhân viên có nhu cầu truy cập vào tài khoản mà không cần xác thực.
Nhà mạng T-Mobile
Khách hàng của T-Mobile thiết lập một mã PIN riêng từ 6 - 15 chữ số có thể được sử dụng để xác minh danh tính của khách hàng khi gọi đến dịch vụ khách hàng. Như lưu ý của FCC, khách hàng của T-Mobile phải cung cấp mã PIN khi chuyển đổi nhà cung cấp dịch vụ mà vẫn liên kết với tài khoản đó.
Hầu hết khách hàng chọn tạo TMobile ID để sử dụng trên My.T-Mobile.com hoặc ứng dụng My T-Mobile đều chọn thiết lập xác thực đa yếu tố (MFA) bằng các phương pháp, bao gồm câu hỏi bảo mật, SMS hoặc sinh trắc học dựa trên thiết bị như Face ID hoặc nhận dạng vân tay trên các thiết bị hỗ trợ các tính năng này.
Khách hàng đủ điều kiện có thể muốn bật các biện pháp bảo vệ như thiết lập bảo vệ tiếp quản tài khoản - một tính năng miễn phí cấm người dùng trái phép chuyển đường dây điện thoại của khách hàng sang nhà mạng khác.
Ngoài ra, đối với hầu hết các đối tượng khách hàng, T-Mobile có thể thiết lập "khối thay đổi SIM" (SIM change block) để giúp bảo vệ SIM của khách hàng không bị sử dụng trong các thiết bị khác. T-Mobile có thể kích hoạt tính năng chặn đổi SIM trong những trường hợp rủi ro cao, chẳng hạn như trước đây người dùng từng là nạn nhân của hành vi lừa đảo.
Nhìn chung, các nhà mạng và Hiệp hội Viễn thông di động Mỹ (CTIA) cho rằng FCC không nên chỉ tập trung vào các nhà mạng. "Tất cả các bên liên quan trong hệ sinh thái di động và Internet phải có vai trò bảo vệ người tiêu dùng. Các nhà mạng không thể là tuyến phòng thủ duy nhất chống lại những kẻ gian lận hình sự và những kẻ lừa đảo đằng sau hành vi tráo đổi SIM và gian lận chuyển thẻ, vốn thường là một phần của các âm mưu gây hại lớn hơn cho người tiêu dùng", CTIA đề nghị FCC./.