Đừng để số điện thoại trở thành cửa ngõ của kẻ tấn công

nktung

nktung

Nguyễn Khánh Tùng
Thành viên BQT
08/10/2013
401
1.005 bài viết
Đừng để số điện thoại trở thành cửa ngõ của kẻ tấn công
nktung
Trong bối cảnh chuyển đổi số hiện nay, số điện thoại cá nhân không chỉ còn là công cụ liên lạc thông thường mà đã trở thành "chìa khóa" truy cập vào hầu hết các dịch vụ quan trọng, từ ngân hàng trực tuyến, email, VNeID, ví điện tử cho đến mạng xã hội. Với vai trò trung tâm trong hệ sinh thái định danh số, số điện thoại trở thành một yếu tố nhạy cảm và có giá trị đặc biệt trong an toàn thông tin.

Thực trạng​

Hiện nay, đa số các dịch vụ trực tuyến vẫn sử dụng số điện thoại như phương thức xác thực chính qua SMS OTP. Điều này khiến người dùng phụ thuộc quá mức vào một yếu tố có nguy cơ bị khai thác. Các hình thức tấn công phổ biến bao gồm:
  • SIM swap (hoán đổi SIM): kẻ tấn công chiếm quyền kiểm soát số điện thoại bằng cách yêu cầu nhà mạng phát hành SIM mới.
  • Chiếm đoạt tài khoản: sau khi kiểm soát số điện thoại, tin tặc có thể đặt lại mật khẩu email, ngân hàng, mạng xã hội.
  • Đánh cắp danh tính: sử dụng số điện thoại kết hợp với dữ liệu cá nhân khác để mở tài khoản giả, vay tín dụng, hoặc thực hiện giao dịch gian lận.
Hậu quả của việc mất quyền kiểm soát số điện thoại không chỉ dừng lại ở việc gián đoạn liên lạc mà còn có thể dẫn đến mất mát tài chính, rò rỉ dữ liệu cá nhân, và ảnh hưởng đến uy tín của người dùng.

Khuyến nghị​

Đối với cá nhân:
  • Hạn chế phụ thuộc vào SMS OTP; ưu tiên sử dụng ứng dụng xác thực hoặc khóa bảo mật phần cứng.
  • Tách biệt số điện thoại: sử dụng số riêng cho liên lạc và số khác cho dịch vụ trực tuyến.
  • Thiết lập PIN cho SIM và đăng ký cảnh báo khi có yêu cầu đổi SIM.
  • Không công khai số điện thoại chính trên mạng xã hội hay dịch vụ không uy tín.
  • Liên hệ ngay với nhà mạng khi có dấu hiệu mất sóng bất thường.
Đối với doanh nghiệp
  • Đào tạo nhận thức cho nhân viên về rủi ro liên quan đến số điện thoại.
  • Áp dụng xác thực đa yếu tố (MFA) không dựa vào SMS OTP.
  • Xây dựng chính sách nội bộ về quản lý số điện thoại trong đăng ký dịch vụ.
  • Có quy trình phản ứng sự cố khi nhân viên bị chiếm đoạt số điện thoại.
  • Hợp tác trực tiếp với nhà mạng để xử lý kịp thời các trường hợp SIM swap.
Đối với nhà mạng
  • Siết chặt quy trình xác thực khi phát hành lại SIM, bổ sung xác minh đa yếu tố (chứng minh thư số, sinh trắc học).
  • Chủ động cảnh báo qua nhiều kênh khi có yêu cầu thay SIM.
  • Giám sát và phát hiện hành vi bất thường liên quan đến việc đổi SIM.
  • Phối hợp với ngân hàng, tổ chức tài chính và cơ quan quản lý để ngăn chặn gian lận.
  • Tăng cường truyền thông cộng đồng về nguy cơ và biện pháp bảo vệ số điện thoại.

 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Giao thức IEC 60870-5-104 và vấn đề bảo mật trong giám sát hệ thống điện
  • Tìm hiểu hệ thống thông tin tình báo về mối đe dọa an ninh mạng - Threat Intelligent (Phần 1)
  • Một vài bước để tăng cường bảo mật cho máy chủ Nginx
  • Một vài bước để tăng cường bảo mật cho máy chủ Apache
  • Có cách nào để khôi phục hwid của máy tính?
  • Những mối đe dọa an ninh đối với hệ thống OT
    • Bên trên