Rủi ro khi nhận OTP qua tin nhắn SMS
Tình trạng tấn công bảo mật qua dịch vụ tin nhắn SMS ngày càng leo thang khiến các công ty công nghệ đau đầu tìm kiếm giải pháp.
Zing lược dịch bài viết của tác giả Zak Doffman, trang Forbes về nguy cơ bảo mật khi sử dụng các dịch vụ nhận mã số xác thực một lần (OTP) qua tin nhắn.
Hiện nay Facebook, Paypal, Microsoft và các doanh nghiệp lớn đều khuyến khích người dùng sử dụng hệ thống bảo mật hai lớp (xác thực hai yếu tố) khi đăng nhập hoặc thanh toán, bao gồm nhập mã xác thực một lần gửi đến điện thoại qua tin nhắn SMS.
Tuy nhiên, bản thân dịch vụ tin nhắn SMS có khả năng bảo mật rất kém, dễ dàng trở thành đối tượng để kẻ xấu tấn công.
Cách thức xác thực danh tính bằng mã OTP không thực sự an toàn. Ảnh: Helpdesk.
Những cách thức tấn công qua SMS
Những đợt khai thác lỗ hổng bảo mật không chỉ tấn công qua điện thoại/số điện thoại của người dùng mà còn qua hệ thống tin nhắn trong mạng di động. Những tin nhắn chứa mã bảo mật này thường được gửi dưới dạng văn bản thô (không được mã hóa), đồng nghĩa với việc kẻ xấu có thể dễ dàng xác định thông tin mà không cần giải mã.
Cách thức tấn công qua điện thoại/số điện thoại bao gồm việc sử dụng các phần mềm độc hại mà người dùng tự tải về. Chúng có khả năng truy cập vào hộp tin nhắn và gửi thông tin về kẻ tấn công, thậm chí lấy luôn tài khoản đăng nhập ứng dụng hoặc website.
Một phương pháp nguy hiểm khác là tấn công tráo SIM. Những kẻ tấn công sẽ lợi dụng nhà mạng và phân phối các SIM độc hại đến người dùng để đọc tin nhắn của họ.
iMessage sử dụng cơ chế bảo mật giữa hai luồng dữ liệu. Ảnh: Forbes.
Trong khi các ứng dụng như WhatsApp, iMessage mã hóa tin nhắn theo cơ chế bảo mật giữa hai luồng dữ liệu thì SMS phải phụ thuộc vào cơ chế bảo mật của mạng di động. Điều này dẫn đến một vụ việc vào năm 2019, những kẻ tấn công đã cài đặt phần mềm độc hại vào sâu trong mạng di động để chặn tin nhắn người dùng.
Tuy nhiên, cơ chế bảo mật giữa hai luồng dữ liệu của ứng dụng iMessage chỉ có tác dụng khi hai đầu gửi và nhận tin nhắn đều dùng thiết bị Apple. Nếu một trong hai bên không dùng thiết bị Apple, cơ chế bảo mật của iMessage cũng trở nên vô dụng.
Những vụ đánh cắp dữ liệu cho thấy các tài khoản sử dụng mật khẩu dễ đoán chính là đối tượng để kẻ xấu tấn công, thế nên hệ thống bảo mật hai lớp là cần thiết. Song việc dùng tin nhắn SMS với cơ chế bảo mật kém là con dao hai lưỡi.
Những cuộc tấn công bảo mật qua SMS ngày càng tăng khiến người dùng đau đầu, thậm chí một số ngân hàng tại Đức còn quyết định ngừng gửi mã OTP qua SMS.
Hướng giải quyết cấp bách
Trước tình hình đó, Apple đã nâng cấp tính năng gửi mã OTP. Giờ đây người dùng hệ sinh thái Apple, khi đăng nhập iCloud sẽ thấy mã OTP được hiển thị trực tiếp trên màn hình thiết bị, không còn gửi qua tin nhắn SMS nữa.
Google cũng cải thiện tính năng bảo mật bằng cách gửi thông báo kèm mã xác minh qua điện thoại thay cho tin nhắn SMS hoặc cuộc gọi.
Người dùng có thể nhập mã OTP chỉ với một cú chạm. Ảnh: Itigic.
Tuy nhiên, cải tiến từ Apple và Google khó được áp dụng cho thiết bị không dùng bảo mật sinh trắc học. Nỗ lực của các ông lớn vẫn chưa thể vượt qua tính tiện dụng của SMS bởi nó không cần ứng dụng xác thực riêng để tạo mã, không yêu cầu thiết bị chuyên biệt, có thể hoạt động trên mọi ứng dụng và nền tảng.
Tuy nhiên, vì quá đơn giản mà SMS cũng tồn tại nhiều lỗ hổng. Một ứng dụng cũ chạy trên các thiết bị tối tân, thiếu mã hóa đầu vào và đầu ra, rất dễ bị tấn công.
"SMS đã hoàn thành sứ mệnh của mình, giờ là lúc chúng ta nên chuyển sang các giải pháp mới tốt hơn", nhà nghiên cứu bảo mật Sean Wright chia sẻ.
Tuy nhiên, để đạt được mục tiêu trên còn tồn tại nhiều thách thức. Nicola Whiting, Giám đốc chiến lược tại Titania, đề xuất việc biến mã OTP thành một tiêu chuẩn tương thích với nhiều trình duyệt, hệ điều hành và nhà mạng. Điều đó vừa đảm bảo an toàn vừa tiết kiệm chi phí.
Dù vậy, để những phương án trên trở thành sự thật còn phải mất nhiều thời gian. Hiện tại, người dùng không còn cách nào khác ngoài việc tiếp tục nhận mã OTP qua SMS. Tuy tồn tại nhiều rủi ro, hệ thống xác thực hai lớp vẫn rất cần thiết, tin nhắn SMS với mã OTP vẫn là một cải tiến lớn trong nhiệm vụ xây dựng hệ thống bảo mật toàn diện.
Giả danh nhân viên ngân hàng lấy số OTP để chiếm đoạt tiền Các đối tượng mạo danh nhân viên ngân hàng, gọi điện để lừa lấy mật khẩu và mã giao dịch OTP trong giao dịch chuyển khoản. Ngay lập tức, tiền trong tài khoản của nạn nhân bị mất.
