Số điện thoại của bạn có thể bị "hack" như thế nào?

Thảo luận trong 'Cảnh báo an ninh mạng' bắt đầu bởi whf, 18/05/21, 04:05 PM.

  1. whf

    whf Super Moderator Thành viên BQT

    Tham gia: 06/07/13, 03:07 AM
    Bài viết: 1,163
    Đã được thích: 753
    Điểm thành tích:
    113
    Bạn có từng nghĩ rằng số điện thoại của mình có thể bị “hack”? Nghe thật khó tin nhưng đã có nhiều nạn nhân trong thực tế và họ cho rằng số điện thoại của mình bị “hack”. Tuy nhiên sau khi tìm hiểu, tôi cho rằng đây là một trò lừa đảo và chiêu trò sẽ được lật tẩy qua bài viết này.

    upload_2021-5-18_15-21-26.png
    Kịch bản
    • Kịch bản 1:
    Kẻ xấu dùng các số điện thoại rác gọi vào số điện thoại di động nạn nhân, tự nhận là nhân viên các công ty tài chính tiêu dùng như FE Credit, Home Credit… để mời gọi cho vay. Các cuộc gọi được thực hiện với tần suất dày đặc nhằm tạo sự phiền phức cho nạn nhân.

    Khi nạn nhân từ chối vay và cảm thấy phiền. Kẻ xấu sẽ hướng dẫn cách từ chối nhận cuộc gọi mời vay, nếu thực hiện sẽ không bị gọi làm phiền nữa bằng cách thực hiện theo cú pháp:

    *090*7*2*xxxxx# và bấm gọi.
    • Kịch bản 2:
    Kẻ xấu gọi vào số di động của nạn nhân, tự xưng là nhân viên các sàn thương mại điện tử như Shopee, Lazada… chúc mừng khách hàng đã may mắn trúng thưởng. Để nhận được phần thưởng khách hàng cần làm theo cú pháp được gửi qua tin nhắn để xác nhận.

    upload_2021-5-18_15-23-44.png
    • Kịch bản 3:
    Kẻ xấu gọi điện cho nạn nhân tự xưng là nhân viên nhà mạng hỗ trợ khách hàng nâng cấp sim 4G từ xa nhằm hạn chế tiếp xúc, ngăn ngừa dịch Covid, để được hưởng khuyến mãi, nếu không nâng cấp sẽ không thể gọi/truy cập internet… để nâng cấp chỉ cần làm theo cú pháp được hướng dẫn qua tin nhắn.

    Lật tẩy chiêu trò

    Trong cả 3 kịch bản ở trên, có một điểm chung là kẻ xấu sẽ lừa nạn nhân thực hiện cú pháp::

    *090*7*2*xxxx# và bấm gọi. (với nhà mạng Mobifone - xxxx là 16 số)

    upload_2021-5-18_15-24-49.png

    *091*38*xxxx# và bấm gọi. (với nhà mạng Vinaphone - xxxx là 20 số)

    upload_2021-5-18_15-25-21.png

    Bí mật ở đây chính là cú pháp thay sim 4G qua USSD (Unstructured Supplementary Service Data) của nhà mạng đã bị lợi dụng. Trong đó xxxx tương ứng với seri của phôi sim trắng mà kẻ xấu sở hữu.

    Nếu thực hiện theo cú pháp được hướng dẫn sim nạn nhân trong phút chốc sẽ mất sóng và không thể thực hiện cuộc gọi đi/đến kể cả khởi động lại máy. Thực tế lúc này số điện thoại nạn nhân đã được đổi qua phôi sim trắng của kẻ xấu chuẩn bị trước đó và chúng có toàn quyền sử dụng số điện thoại nạn nhân để nghe/gọi, nhắn/nhận tin nhắn.

    Sau khi chiếm quyền sử dụng số điện thoại nạn nhân kẻ xấu có thể: mạo danh lừa đảo qua tin nhắn sms, lấy mã otp các tài khoản quan trọng, kích hoạt thẻ tín dụng, chiếm tài khoản email, mạng xã hội nạn nhân, kể cả được bảo mật 2 lớp…

    Theo tôi nếu như 2 nhà mạng trên bổ sung thêm một bước cảnh báo và yêu cầu người dùng xác nhận như cách nhà mạng Viettel đã làm thì sẽ giảm được đáng kể các vụ lừa đảo.

    Tại thời điểm bài viết này công bố, cả 2 nhà mạng trên đều đã ngưng tính năng thay sim theo cú pháp trên.

    Tuy nhiên để tránh những hậu quả đáng tiếc người dùng vẫn nên tự trang bị kiến thức, nâng cao tinh thần cảnh giác trước những thủ đoạn lừa đảo. Khi nhận được tin nhắn, cuộc gọi lạ người dùng cần đề phòng tránh cung cấp thông tin. Không làm theo các hướng dẫn từ người lạ để tránh những hậu quả đáng tiếc. Để xác minh thông tin người dùng nên liên hệ trực tiếp với tổng đài nhà cung cấp dịch vụ. Trường hợp sơ suất làm theo hướng dẫn của kẻ xấu, người dùng cần báo ngay cho cơ quan chức năng, nhà cung cấp dịch vụ để được hỗ trợ.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    Namee thích bài này.