Nếu bạn muốn tăng cường bảo mật cho tài khoản của mình, tốt nhất bạn không nên thực hiện điều đó qua tin nhắn văn bản. Các nhà nghiên cứu cho thấy việc bẻ khóa hình thức xác minh hai bước này dễ dàng như thế nào.
Khi thiết lập xác minh hai bước, bạn sẽ thêm một lớp bảo mật bổ sung cho tài khoản của mình. Một số dịch vụ trực tuyến – chẳng hạn như Google, Facebook và Dropbox – cung cấp tính năng bảo mật như vậy, nơi bạn nhận được mã thông qua ứng dụng hoặc tin nhắn văn bản mà bạn phải nhập khi đăng nhập. Theo một số nhà nghiên cứu của Công nghệ Tích cực, việc xác minh bằng SMS đã có chỗ đứng, trang công nghệ báo cáo The Verge.
https://www.youtube.com/watch?v=mLh1Nmqa6OM
Bằng video trình diễn, nhóm nghiên cứu cho thấy việc truy cập vào ví kỹ thuật số bằng tiền điện tử dễ dàng như thế nào. Trong cuộc trình diễn, họ đã hack một người giả mạo có ví bitcoin với nhà cung cấp Coinbase. Trong quá trình thiết lập thử nghiệm, tài khoản của anh ấy được bảo vệ bằng xác thực hai yếu tố và được ghép nối với Gmail, dịch vụ này cũng có lớp áo giáp bảo mật thứ hai.
Hóa ra tin nhắn văn bản không hề kín đáo như bạn nghĩ. Một tin nhắn văn bản như vậy được gửi qua nhiều trạm khác nhau để cuối cùng đến tháp truyền tải. Đối với các chuyên gia tại Positive Technologies, việc chặn tin nhắn là một việc dễ dàng. Ngay lập tức, họ đã lấy được một số tin nhắn văn bản, đặt lại mật khẩu trên tài khoản Gmail và chiếm quyền kiểm soát ví Bitcoin. Tất cả những gì nhóm cần làm là tên, họ và số điện thoại của nạn nhân.
hệ thống tín hiệu không 7
Lỗ hổng không nằm ở Coinbase mà ở SS7 (Hệ thống tín hiệu số 7) liên kết các mạng điện thoại để chia sẻ thông tin cần thiết cho một cuộc gọi điện thoại và gửi tin nhắn văn bản. Khi tin tặc có quyền truy cập vào hệ thống này, hắn cũng có thể truy cập vào một cuộc trò chuyện mà người dùng không nhìn thấy hoặc – trong trường hợp này – nhận được một tin nhắn văn bản.
Chúng tôi hoan nghênh bạn vì muốn bảo mật tài khoản của mình nhưng tốt nhất bạn không nên làm như vậy qua tin nhắn văn bản. Hãy hành động ngay trước khi quá muộn: truy cập tài khoản của bạn và kích hoạt một hình thức xác minh hai bước khác. Ví dụ: hầu hết các dịch vụ đều cho phép bạn nhận mã thông qua ứng dụng xác minh, chẳng hạn như ứng dụng phổ biến Trình xác thực Google. Ứng dụng đó tạo ra một mã gồm sáu chữ số ngẫu nhiên mà bạn phải nhập cùng với mật khẩu của mình khi muốn đăng nhập vào các dịch vụ trực tuyến. Điều này không chỉ an toàn hơn mà bạn còn không mất thời gian chờ đợi tin nhắn.
