Đây là lý do bạn tuyệt đối không nên dùng số điện thoại để đăng ký Facebook
Việc sử dụng số điện thoại để đăng ký tài khoản Facebook hay các ứng dụng dịch vụ khác có thể tiềm ẩn nhiều nguy cơ hơn bạn tưởng.
“Hack tài khoản Facebook” là một trong những từ khóa được tìm kiếm nhiều nhất hiện nay. Với các lớp bảo mật tăng cường, đánh cắp tài khoản người khác không phải một việc dễ dàng. Thế nhưng gần đây, các nhà nghiên cứu đã chứng minh được một lỗ hổng có thể giúp hacker đánh cắp được vào tài khoản của bạn chỉ nhờ số điện thoại mà bạn dùng để đăng ký Facebook.
Đúng vậy, để lộ số điện thoại có thể khiến các hacker có khả năng khai thác mạng SS7 đánh cắp được tài khoản của bạn, bất kể bạn có cài bao nhiêu lớp bảo mật hay đặt mật khẩu mạnh đến đâu.
SS7 là một tập hợp các giao thức điện thoại được sử dụng để thiết lập hầu hết các cuộc gọi trong mạng PSTN với chức năng chính là thiết lập cuộc gọi, kết thúc cuộc gọi, chuyển đổi số, tính cước, SMS,... SS7 hiện được hơn 800 nhà mạng viễn thông sử dụng để trao đổi thông tin với nhau, thực hiện thanh toán liên mạng, chuyển vùng cũng như các dịch vụ khác.
Điểm yếu của SS7 là nó không chỉ cho phép hacker cũng như các cơ quan tình báo nghe lén các cuộc gọi của người dùng và chặn đứng các tin nhắn SMS trên diện rộng mà còn có thể giúp họ đánh cắp các tài khoản mạng xã hội mà người dùng cung cấp số điện thoại.
Vấn đề của mạng SS7 là nó tin tưởng tất cả các tin nhắn được gửi qua hệ thống của mình bất kể những tin đó có nguồn gốc từ đâu. Chính vì vậy mà nhiều hacker có thể 'lừa' SS7 chuyển hết tin nhắn và cuộc gọi từ máy người bị hack sang máy của mình. Tất cả những gì hacker cần chỉ là số điện thoại của mục tiêu tấn công cùng một vài thông tin về thiết bị của họ mà thôi.
Các nhà nghiên cứu từ Positive Technologies gần đây đã khám phá ra cách thức các hacker đánh cắp các tài khoản WhatsApp và Telegram và nay là Facebook – tất cả đều dùng cùng một mánh khóe.
Mạng SS7 nay đã trở thành mục tiêu tấn công của nhiều tin tặc cho dù có được phòng vệ bằng những lớp bảo mật tối tân nhất. Những yếu điểm trong thiết kế của SS7 đã được dấy lên từ khi một nhóm các nhà nghiên cứu thuộc German Security Research Lab đưa ra lời cảnh báo từ năm 2014.
Dưới đây là cách hack tài khoản Facebook của bất cứ ai qua SS7:
_______
Đầu tiên, hacker sẽ bấm vào nút “Forgot account?” (Quên mật khẩu) trên trang chủ Facebook rồi được yêu cầu điền vào số điện thoại của nạn nhân. Sau đó, các hacker chỉ cần chuyển tin nhắn xác nhận có mã OTP về chính điện thoại hay máy tính của họ là đã có thể log in vào tài khoản Facebook của đối tượng một cách nhanh chóng.
Đây chính là vấn đề lớn cho những người dùng Facebook đã trót đăng ký bằng số điện thoại của mình. Ngoài Facebook, các nhà nghiên cứu còn chỉ ra rằng một số dịch vụ cũng sử dụng mã xác nhận người dùng gửi qua SMS như Gmail, Twitter cũng có thể có kẽ hở để hacker tấn công các tài khoản.
Trong khi các nhà mạng chưa thể giải quyết ngay được lỗ hổng này, người dùng có thể bảo vệ tài khoản của họ theo những cách sau:
- Không cung cấp số điện thoại của bạn cho các mạng xã hội. Khi cần tìm mật khẩu/khôi phục tài khoản, hãy chỉ cung cấp địa chỉ email.
- Chọn các cách xác thực tài khoản không sử dụng mã bảo mật gửi`qua SMS.
- Sử dụng các ứng dụng liên lạc có mã hóa đầu cuối (end-to-end encryption) để mã hóa dữ liệu của bạn trước khi chúng được gửi đi. Với mã hóa đầu cuối, trừ bạn và người nhận, tất cả nhà cung cấp dịch vụ chat lẫn các bên khác đều không thể xem được những thông tin bạn gửi. Hầu hết các ứng dụng chat hiện nay như Viber, WhatsApp, Telegram,.. đều đã trang bị mã hóa đầu cuối cho người dùng. Một số ứng dụng sẽ yêu cầu bạn bật tính năng này lên mới bắt đầu sử dụng được).
Mã hóa đầu cuối trên WhatsApp