Michael Terpin, một doanh nhân Mỹ mới đây đã gửi hồ sơ kiện nhà mạng nước này là AT&T cho rằng nhà mạng AT&T hiện đang chưa làm gì để bảo vệ gần 140 triệu khách hàng của mình khỏi việc bị gian lận thẻ SIM. Do đó, AT&T trực tiếp phải chịu trách nhiệm về những vụ việc gian lận này vì biết rõ ràng khách hàng của nhà mạng này gặp phải SIM swapping và các biện pháp bảo mật của nhà mạng này chưa hiệu quả. Doanh nhân khởi kiện nhà mạng AT&T vì bị đánh cắp gần 24 triệu USD bitcoin liên quan đến SIM swapping.
Trong khi đó, nhà mạng AT&T cho biết: "Chúng tôi sẽ trình bày về vụ việc này tại tòa án".
Trong khi Terpin và nhà mạng AT&T chuẩn bị cho vụ kiện, ngành công nghiệp di động nói chung vẫn đang cố gắng tìm cách ngăn chặn những cuộc tấn công kiểu này. Và điều rõ ràng là số điện thoại di động là một phương tiện xác thực đang rất có vấn đề.
Allison Nixon, Giám đốc nghiên cứu bảo mật tại cơ quan tình báo các mối đe dọa Flashpoint cho biết: "Vấn đề cốt lõi là làm thế nào để xác định một người cụ thể qua Internet? Để xác thực có thể dùng email, số điện thoại, nhưng việc không thể làm thay đó là việc có lúc phải đến ngân hàng và đưa ra thẻ ID của bạn do chính phủ cấp, với tất cả các biện pháp bảo mật chống giả mạo có trên thẻ ID đó". Các nhà mạng cũng gặp phải vấn đề tương tự.
Jesper Johansson, Giám đốc an ninh thông tin của Yubico, nơi sản xuất các khóa bảo mật phần cứng để xác thực hai yếu tố cho biết: "Khi chúng ta sử dụng địa chỉ email hoặc số điện thoại như là yếu tố thứ hai để xác thực có nghía chúng ta tạo thêm một sự phụ thuộc bảo mật. Những thứ chúng ta bảo vệ, chẳng hạn như tài khoản ngân hàng hiện chỉ an toàn khi dựa vào phương thức xác thực. Nhiều nhà mạng đã không áp dụng các biện pháp bảo vệ tương xứng với các yêu cầu bảo mật của các dịch vụ phụ thuộc bảo mật. Các kiểm soát của nhà mạng để ngăn chặn SIM swapping là chưa đủ. Các kiểm soát được thiết kế với giả định rằng điều duy nhất bị đe dọa là số điện thoại của bạn, mà thường dễ bị khai thác đánh cắp. Chúng ta sử dụng số điện thoại để kiểm soát truy cập các tài khoản ngân hàng hay hầm tiền điện tử (cryptocurrency vaults) và các kiểm soát này không đáp ứng được nhiệm vụ".
Theo phân tích của Allison Nixon, việc xác thực danh tính của một người nhờ sử dụng số điện thoại hoặc địa chỉ email cũng có thể phỏng đoán được dựa trên giả định người dùng vẫn giữ một số điện thoại hoặc địa chỉ email trong một thời gian dài. "Số điện thoại hoặc email không bao giờ nên được dành vào mục đích xác thực. Người sở hữu trang web hoặc ngân hàng không bao giờ biết được số điện thoại và email có thể đã được quay vòng".
Nguy cơ xảy ra SIM swapping
SIM swapping diễn ra khi một tội phạm gian lận có được số điện thoại của nạn nhân bằng cách chuyển số điện thoại đó sang một thẻ SIM do chúng sở hữu. Tội phạm thực hiện việc này bằng cách sử dụng kỹ thuật để làm nhà mạng tin rằng họ là chủ sở hữu hợp pháp của số điện thoại đã được nhắm tới. Thủ đoạn của tội phạm là cung cấp các mẩu dữ liệu cá nhân bị đánh cắp như địa chỉ, ngày sinh... cho nhà mạng. Một thủ đoạn khác là hối lộ nhân viên của nhà mạng để thực hiện SIM-swapping. Khi SIM swapping đã hoàn tất, tội phạm có thể truy cập vào bất kỳ dịch vụ trực tuyến nào được liên kết với số điện thoại, bao gồm email, truyền thông xã hội, ngân hàng và trong trường hợp của doanh nhân Terpin là các tài khoản tiền điện tử.
Một số nhà mạng nhắn tin văn bản thông báo cho người dùng về một SIM swapping đã được khởi động, khuyến cáo người dùng liên hệ với bộ phận hỗ trợ nếu họ đã không cho phép nhắn tin. Thông thường tín hiệu cảnh báo này đến quá muộn để nạn nhân có thể thực hiện bất cứ điều gì. Trong khi đó, một số người dùng chỉ phát hiện ra họ đã trở thành nạn nhân khi họ bất ngờ mất dịch vụ di động. Vào thời điểm họ nhận thấy những gì đã xảy ra, kẻ tấn công đã thay đổi mật khẩu trên mọi tài khoản mà chúng có được.
Điều cần ghi nhớ là việc SIM swapping không phải là một dạng lừa đảo mới mà đã hơn 10 năm nay. Như vậy, "không có lý do gì cho các công ty truyền thông xã hội, hoặc các nhà cung cấp dịch vụ mật mã, đổ vấy trách nhiệm cho nhà mạng, bởi vì những công ty trực tuyến này đã thiết kế bảo mật của họ kể từ cuộc tấn công SIM-swapping đã được biết đến trước đó", Morrow, một cựu giám đốc phụ trách vấn đề gian lận nhóm cho Tập đoàn Vodafone cho hay.
Những nạn nhân đầu tiên của những trò gian lận như vậy là những người dùng có số điện thoại di động theo mong muốn. Tội phạm gian lận chiếm hữu số điện thoại, và sau đó bán thẻ SIM có số điện thoại bị chiếm hữu. Morrow, người vào năm 2016 thành lập FraudFit, một công ty tư vấn giúp các doanh nghiệp áp dụng các phương pháp hiệu quả nhất để giảm thiểu rủi ro gian lận, cho biết một số số điện thoại di động có thể bán được giá hàng ngàn USD.
Tại Vương quốc Anh, một kiểu tấn công mới đã xuất hiện vào khoảng năm 2010, khi một số ngân hàng bắt đầu gửi các mật khẩu một lần (one-time passwords - OTP) cho khách hàng qua SMS với mục đích ủy quyền các giao dịch lớn. Những kẻ tấn công đầu tiên sẽ sử dụng một chương trình phần mềm độc hại được gọi là Zeus để truy cập vào tài khoản ngân hàng trực tuyến của nạn nhân. Điều này sẽ diễn ra sau một SIM swapping. Nhờ có hệ thống OTP, những kẻ tấn công sở hữu số điện thoại của nạn nhân đã có thể cho phép chuyển số tiền lớn ra khỏi tài khoản ngân hàng của nạn nhân đó.
Vào thời điểm đó, Morrow - ngoài vai trò của mình tại Vodafone - một thành viên của nhóm quản trị tại Nhóm gian lận và an ninh của Hiệp hội Viễn thông di động quốc tế (GSMA) cho rằng các ngân hàng ở Vương quốc Anh đã không tham khảo ý kiến các nhà mạng trước khi triển khai SMS OTP như một phương tiện xác thực. "Nếu các ngân hàng tham khảo ý kiến ngành công nghiệp di động về kế hoạch của họ... chúng tôi đã nói với họ rằng mật khẩu một lần bằng SMS không phải là phương tiện xác thực an toàn. Khi bắt đầu có vấn đề, họ bắt đầu đổ lỗi cho ngành công nghiệp di động”.
Các cuộc tấn công SIM-swapping làm tiêu đề của nhiều bài báo ở Hoa Kỳ gần đây cho biết đã nhắm vào nhiều người dùng có tên người sử dụng (user name) giá trị đăng ký các dịch vụ như Instagram, cũng như các tài khoản tiền điện tử.
Nixon của Flashpoint cho biết: "Tôi sẽ không bảo vệ các nhà mạng bởi vì bất cứ công ty nào liên quan đã làm rối tung lên. Nhưng, tôi cũng sẽ nói rằng tất cả những trang web đang sử dụng số điện thoại để xác minh danh tính đang tạo ra một sai lầm lớn. Điều này là không phù hợp họ không nên làm điều đó”.
Một số giải pháp khả thi
Một giải pháp lâu dài cho việc SIM swapping là rất khó, vì nó đòi hỏi sự cộng tác chặt chẽ giữa các nhà mạng, nhà cung cấp dịch vụ trực tuyến, và bất kỳ biện pháp có thể nào đều có thể xâm phạm các bảo vệ riêng tư.
Các giải pháp hiện tại như các ứng dụng và sản phẩm xác thực - chẳng hạn như thiết bị xác thực điện tử (key fob) sẽ tạo ra thêm một lớp xác thực cho các tài khoản trực tuyến - và quan trọng là chịu trách nhiệm mà không cần đến số điện thoại.
Tuy nhiên, Nixon cho rằng trong các giải pháp này là một cải tiến đối với SMS OTP, "người bình thường sẽ không giữ nhiều thiết bị xác thực, theo đó khi họ tải về máy điện thoại của mình ứng dụng xác thực, nếu họ mất điện thoại và bị khóa các tài khoản trực tuyến của họ".
Các biện pháp mang tính pháp lý, giống như ID chính phủ cấp cho Internet, có thể chặn một số vectơ tấn công, nhưng có khả năng sẽ không được phổ biến kỹ với những người ủng hộ quyền riêng tư, bà nói thêm
Trong khi đó, Morrow cảnh báo rằng việc chuyển sang eSIM sẽ không giải quyết được SIM-swapping và có thể trong một số trường hợp có thể làm trầm trọng thêm vấn đề. "Về mặt lý thuyết, với một người trong cuộc, eSIM làm cho sự việc tồi tệ hơn, bởi vì chúng có thể làm thay đổi SIM swapping một lần nữa và nạn nhân có thể không bao giờ biết rằng bất cứ điều gì đã xảy ra", ông cảnh báo.
Một giải pháp khả thi dành cho nhà mạng, hoặc thiết bị của người dùng, là cảnh báo các nhà cung cấp dịch vụ trực tuyến đối với bất kỳ thay đổi phần cứng nào gần đây trong trường hợp một yêu cầu được người dùng thực hiện để thay đổi mật khẩu hoặc khôi phục một tài khoản.
"Nếu số điện thoại của tôi chỉ ở trên cùng một phần cứng trong hai ngày, thì có lẽ đó là một chút đáng ngờ và có lẽ ngân hàng của tôi không nên chấp nhận một nỗ lực cài đặt lại mật khẩu", Nixon nói.
Đồng quan điểm, Johansson của Yubico cho hay: “Các nhà mạng cần có biện pháp bảo vệ phù hợp ngăn chặn SIM swapping. Một biện pháp đơn giản sẽ là cần một khoảng thời gian chờ đợi trước khi thay đổi có hiệu lực, có thể bị hủy bỏ bởi khách hàng hợp pháp đơn giản bằng cách gọi cho họ. Điều này sẽ có hiệu quả chống lại các cuộc tấn công kỹ thuật của các cơ sở dịch vụ khách hàng của nhà khai thác di động và có thể được triển khai rất nhanh".
Tại Hội nghị Di động Thế giới tại Barcelona hồi tháng 3 năm nay, 4 nhà mạng lớn của Hoa Kỳ đã cập nhật cho ngành về những gì họ gọi là nền tảng xác thực di động thế hệ tiếp theo (next-generation mobile authentication platform). Nền tảng này tích hợp thông tin nhận dạng từ thẻ SIM của người dùng, địa chỉ IP, loại tài khoản điện thoại và hơn thế nữa. Thông tin này được chia sẻ với các nhà phát triển được ủy quyền với mục đích xác minh danh tính của người nào đó
Trong khi điều này đã đến quá muộn đối với những người như Terpin, nó có thể cho thấy một dấu hiệu là ngành công nghiệp di động đang hợp tác để ngăn chặn SIM swapping. "Nếu có bất kỳ điều gì mà các công ty viễn thông có thể làm để giải quyết vấn đề này, thì nó phải được thực hiện dựa trên sự cộng tác", Morrow nói
Còn Johansson cho biết: “Bởi vì tình hình hiện rất nghiêm trọng. Không giải quyết các vấn đề này thì về lâu dài sẽ mất lòng tin của khách hàng đối với toàn bộ hệ sinh thái. Khách hàng nên hiểu một số điều cơ bản về việc tự bảo vệ, nhưng chúng ta không thể trông đợi khách hàng chịu trách nhiệm về điều này và nếu họ nhận thấy hệ thống xác thực là không an toàn, họ sẽ tránh sử dụng nó. Cho dù nhận thức là đúng hay không thì đều không quan trọng nhiều như việc khách hàng nghĩ rằng đó là sự thật. Tất cả các bên liên quan cần phải củng cố và giúp giải quyết vấn đề này”.
.png "5 xu hướng điện toán đám mây tác động đến các trung tâm dữ liệu vào năm 2025")
.jpg "Phát động Giải thưởng Nhân tài Đất Việt 2025: Thúc đẩy ứng dụng AI, dữ liệu lớn trong chuyển đổi số quốc gia")
