12/07/2018 - 17:40

Port Out Scam đe dọa tài khoản ngân hàng và các tài khoản khác 

Tội phạm có thể lấy cắp số điện thoại của bạn bằng cách giả vờ là bạn để chuyển số của bạn sang một điện thoại khác. Sau đó, họ sẽ nhận mã bảo mật được gởi qua SMS, giúp họ có quyền truy cập vào tài khoản ngân hàng của bạn và các dịch vụ khác.

Port Out Scam là gì?

“Port out scam” là một vấn đề lớn của toàn bộ ngành công nghiệp di động. Trong cách lừa đảo này, một tội phạm giả vờ là bạn và chuyển số điện thoại hiện tại của bạn đến một nhà cung cấp dịch vụ di động khác. Quá trình này được gọi là chuyển điện thoại (phone porting), nó được thiết kế để cho phép bạn giữ số điện thoại của mình khi bạn thay đổi nhà mạng. Bất kỳ tin nhắn văn bản và cuộc gọi đến số điện thoại của bạn sau đó được gởi đến điện thoại của tội phạm thay vì của bạn.

Đây là một vấn đề đáng quan ngại vì nhiều tài khoản trực tuyến, kể cả tài khoản ngân hàng thường sử dụng số điện thoại làm phương thức xác thực hai yếu tố. Quá trình này không hề có một thông tin cảnh báo nào gởi tới điện thoại của bạn trước, nhưng khi lừa đảo thành công, tội phạm sẽ nhận được mã bảo mật trên điện thoại của họ. Họ có thể sử dụng nó để truy cập vào tài khoản tài chính của bạn và các dịch vụ nhạy cảm khác. Hình thức tấn công này còn được gọi là tấn công SIM, vì nó chuyển số điện thoại của bạn từ thẻ SIM hiện tại sang thẻ SIM của kẻ tấn công.

Scam hoạt động như thế nào?

Cách lừa đảo này có nhiều điểm chung với hành vi trộm cắp danh tính. Người nào đó có thông tin cá nhân của bạn giả vờ là bạn, yêu cầu nhà cung cấp dịch vụ di động chuyển số điện thoại của bạn sang điện thoại mới. Thông thường, các nhà cung cấp dịch vụ di động sẽ yêu cầu họ cung cấp một số thông tin cá nhân để xác minh (số chứng minh thư hoặc thẻ căn cước). Trong một thế giới hoàn hảo, số chứng minh thư của bạn là riêng tư - nhưng, như chúng ta đã thấy, nhiều số chứng minh thư bị rò rỉ do vi phạm của nhiều doanh nghiệp.

Nếu người đó đánh lừa thành công nhà cung cấp dịch vụ di động, quá trình chuyển đổi sẽ diễn ra và mọi tin nhắn SMS cũng như các cuộc gọi điện thoại dành cho bạn sẽ được chuyển đến điện thoại của kẻ trộm trong tích tắc. Số điện thoại của bạn lúc này sẽ “tự nhiên” không còn gọi hoặc nhắn tin được nữa. Và trong khi bạn yêu cầu nhà cung cấp dịch vụ xem lại thẻ SIM thì kẻ tấn công đã thực hiện các dịch vụ giao dịch thuộc quyền của bạn.

Hình thức tấn công này thực sự chỉ như một “biến thể” của một giao dịch xã hội bình thường. Một người gọi đến công ty giả vờ là một người khác và sử dụng giao dịch xã hội để có quyền truy cập vào một thứ họ không nên có. Giống như các công ty khác, các nhà cung cấp dịch vụ di động muốn mọi thứ trở nên dễ dàng nhất cho khách hàng hợp pháp, vì vậy bảo mật của họ có thể không đủ chặt chẽ để chống lại tất cả những kẻ tấn công.

Giải pháp hạn chế rủi ro

Các vụ lừa đảo đánh cắp số điện thoại đặt ra vấn đề lớn cho bảo mật xác minh hai bước dựa vào tin nhắn văn bản SMS. Tất cả chúng ta đều nghĩ rằng số điện thoại của chúng ta hoàn toàn do chúng ta kiểm soát và chỉ liên quan đến những gì mình sở hữu. Trong thực tế, điều đó không đúng - khi bạn dựa vào số điện thoại là bạn đang dựa vào dịch vụ khách hàng của nhà cung cấp dịch vụ di động, và dịch vụ khách hàng thì luôn có những sơ hở. Nhiều dịch vụ trực tuyến hiện nay kể cả ngân hàng yêu cầu bạn sử dụng xác minh qua SMS với số điện thoại mà không yêu cầu thêm các tùy chọn khác bổ sung. Điều này là vô cùng nguy hiểm.

Vì vậy, thay vì nhận mã bảo mật được gởi qua tin nhắn SMS, bạn nên sử dụng các phương pháp bảo mật hai yếu tố khác, ví dụ sử dụng ứng dụng Authy để tạo mã. Các ứng dụng này sẽ tạo mã trên điện thoại của bạn. Khi một tên tội phạm muốn có mã phải có điện thoại của bạn và mở khóa điện thoại mới nhận được mã bảo mật.

Ngoài ra, để bảo vệ số điện thoại, bạn cần đặt mã PIN an toàn với nhà cung cấp dịch vụ di động của mình. Mã PIN này sẽ được yêu cầu khi bạn chuyển số điện thoại, nói cách khác, bất cứ ai yêu cầu chuyển số điện thoại phải có mã xác thực chuyển đổi. Bạn có thể liên hệ với dịch vụ di động của bạn để tìm hiểu điều này hoặc yêu cầu họ làm để bảo vệ SIM cũng như thông tin cá nhân của bạn. 

HOÀNG THY (Theo How-to Geek)

Chia sẻ bài viết