Tội phạm có thể đánh cắp số điện thoại của bạn. Đây là cách để ngăn chặn chúng

Tác giả sysadmin, T.M.Một 23, 2023, 10:08:06 SÁNG

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 2 Khách đang xem chủ đề.

Tội phạm có thể đánh cắp số điện thoại của bạn. Đây là cách để ngăn chặn chúng


Số điện thoại của bạn không an toàn như bạn nghĩ.

  • Tội phạm đang đánh cắp số điện thoại thông qua "lừa đảo chuyển cổng" bằng cách giả làm chủ sở hữu và chuyển số này sang điện thoại khác, giành quyền truy cập vào mã bảo mật và tài khoản nhạy cảm.
  • Lừa đảo Port Out là mối đe dọa lớn vì số điện thoại thường được sử dụng để xác thực hai yếu tố, khiến bọn tội phạm dễ dàng nhận được mã bảo mật dành cho chủ sở hữu.
  • Để bảo vệ khỏi các hành vi lừa đảo Port Out, hãy đặt mã PIN an toàn với nhà cung cấp dịch vụ di động của bạn, sử dụng các phương pháp xác thực hai yếu tố thay thế như Google Authenticator và tránh dựa vào xác minh SMS cho các dịch vụ quan trọng.

Tội phạm có thể đánh cắp số điện thoại của bạn bằng cách giả vờ là bạn rồi chuyển số của bạn sang điện thoại khác. Sau đó, họ sẽ nhận được mã bảo mật được gửi qua SMS trên điện thoại của họ, giúp họ có quyền truy cập vào tài khoản ngân hàng của bạn và các dịch vụ bảo mật khác.

1. Lừa đảo Port Out là gì?

"Lừa đảo Port Out" là một vấn đề lớn đối với toàn bộ ngành công nghiệp di động. Trong trò lừa đảo này, một tên tội phạm giả danh bạn và chuyển số điện thoại hiện tại của bạn sang một nhà cung cấp dịch vụ di động khác. Quá trình này được gọi là "chuyển" và được thiết kế để cho phép bạn giữ số điện thoại của mình khi chuyển sang nhà cung cấp dịch vụ di động mới. Mọi tin nhắn văn bản và cuộc gọi đến số điện thoại của bạn sau đó sẽ được gửi đến điện thoại của họ thay vì của bạn.

Đây là một vấn đề lớn vì nhiều tài khoản trực tuyến, bao gồm cả tài khoản ngân hàng, sử dụng số điện thoại của bạn làm phương thức xác thực hai yếu tố. Họ sẽ không cho phép bạn đăng nhập mà không gửi mã tới điện thoại của bạn trước. Tuy nhiên, sau khi vụ lừa đảo chuyển mạng diễn ra, tội phạm sẽ nhận được mã bảo mật đó trên điện thoại của họ. Họ có thể sử dụng nó để có quyền truy cập vào tài khoản tài chính của bạn và các dịch vụ nhạy cảm khác.

Tất nhiên, kiểu tấn công này nguy hiểm nhất nếu kẻ tấn công đã có quyền truy cập vào các tài khoản khác của bạn—ví dụ: nếu họ đã có mật khẩu ngân hàng trực tuyến hoặc quyền truy cập vào tài khoản email của bạn. Tuy nhiên, nó cho phép kẻ tấn công bỏ qua các thông báo bảo mật dựa trên SMS được thiết kế để bảo vệ bạn trong tình huống này.

Cuộc tấn công này còn được gọi là chiếm quyền điều khiển SIM vì nó chuyển số điện thoại của bạn từ thẻ SIM hiện tại sang thẻ SIM của kẻ tấn công.

2. Lừa đảo Port Out hoạt động như thế nào?


Trò lừa đảo này có nhiều điểm chung với hành vi trộm cắp danh tính. Người nào đó có thông tin cá nhân của bạn giả vờ là bạn, yêu cầu nhà cung cấp dịch vụ di động chuyển số điện thoại của bạn sang điện thoại mới. Nhà cung cấp dịch vụ di động sẽ yêu cầu họ cung cấp một số thông tin cá nhân để nhận dạng chính họ, nhưng thông thường, việc cung cấp số an sinh xã hội của bạn là đủ. Trong một thế giới hoàn hảo, số an sinh xã hội của bạn sẽ ở chế độ riêng tư—nhưng, như chúng ta đã thấy, số an sinh xã hội của nhiều người Mỹ đã bị rò rỉ do vi phạm của nhiều doanh nghiệp lớn.

Nếu người đó có thể đánh lừa thành công nhà cung cấp dịch vụ di động của bạn, quá trình chuyển đổi sẽ diễn ra và mọi tin nhắn SMS gửi cho bạn cũng như các cuộc gọi điện thoại dành cho bạn sẽ được chuyển đến điện thoại của họ. Số điện thoại của bạn được liên kết với điện thoại của họ và điện thoại hiện tại của bạn sẽ không còn tính năng gọi điện, nhắn tin hoặc dịch vụ dữ liệu nữa.

Đây thực sự chỉ là một biến thể khác của cuộc tấn công kỹ thuật xã hội. Ai đó gọi đến một công ty giả vờ là một người khác và sử dụng kỹ thuật xã hội để có quyền truy cập vào thứ mà họ không nên có. Giống như các công ty khác, các nhà cung cấp dịch vụ di động muốn mọi việc trở nên dễ dàng nhất có thể đối với những khách hàng hợp pháp, do đó bảo mật của họ có thể không đủ chặt chẽ để chống lại tất cả những kẻ tấn công.

3. Làm thế nào để ngăn chặn các trò lừa đảo Port Out

Chúng tôi khuyên bạn nên đảm bảo rằng bạn đã đặt mã PIN an toàn với nhà cung cấp dịch vụ di động của mình. Mã PIN này sẽ được yêu cầu khi chuyển số điện thoại của bạn. Nhiều nhà cung cấp dịch vụ di động trước đây chỉ sử dụng bốn chữ số cuối của số an sinh xã hội của bạn làm mã PIN, điều này khiến cho việc lừa đảo chuyển đổi dễ dàng hơn nhiều.

  • AT&T : Đảm bảo bạn đã đặt " mật mã không dây " hoặc mã PIN trực tuyến. Mật khẩu này khác với mật khẩu tiêu chuẩn bạn sử dụng để đăng nhập vào tài khoản trực tuyến của mình và phải có từ bốn đến tám chữ số. Bạn cũng có thể muốn kích hoạt tính năng " bảo mật bổ sung " trực tuyến, điều này sẽ khiến mật mã không dây của bạn được yêu cầu trong nhiều trường hợp hơn.
  • T-Mobile : Gọi tới bộ phận dịch vụ khách hàng của T-Mobile và yêu cầu thêm " Xác thực cổng " vào tài khoản của bạn. Đây là mật khẩu mới có từ sáu đến mười lăm chữ số phải được cung cấp khi bạn chuyển số của mình. Chúng tôi không biết tại sao, nhưng T-Mobile không cho phép bạn thực hiện việc này trực tuyến và buộc bạn phải gọi điện.
  • Verizon : Đặt mã PIN tài khoản gồm bốn chữ số. Nếu bạn chưa đặt hoặc không nhớ, bạn có thể thay đổi trực tuyến, trong ứng dụng My Verizon hoặc bằng cách gọi đến bộ phận dịch vụ khách hàng. Bạn cũng nên đảm bảo tài khoản trực tuyến My Verizon của mình có mật khẩu an toàn vì mật khẩu đó có thể được sử dụng khi chuyển số điện thoại của bạn.

Nếu bạn có nhà cung cấp dịch vụ di động khác, hãy kiểm tra trang web của nhà cung cấp dịch vụ đó hoặc liên hệ với bộ phận dịch vụ khách hàng để tìm hiểu cách bảo vệ tài khoản của bạn.

Thật không may, có nhiều cách để giải quyết tất cả các mã bảo mật này. Ví dụ: đối với nhiều nhà cung cấp dịch vụ, kẻ tấn công có thể truy cập vào tài khoản trực tuyến của bạn có thể thay đổi mã PIN của bạn. Chúng tôi cũng sẽ không ngạc nhiên nếu ai đó có thể nói với nhà cung cấp dịch vụ di động của bạn rằng "Tôi quên mã PIN" và bằng cách nào đó đặt lại mã PIN nếu họ biết đủ thông tin cá nhân. Các nhà mạng cần có cách để những người quên mã PIN đặt lại. Nhưng đây là tất cả những gì bạn có thể làm để bảo vệ mình trước việc chuyển mạng.

Các mạng di động đang nỗ lực tăng cường bảo mật. Bốn công ty di động lớn của Hoa Kỳ—AT&T, T-Mobile và Verizon—đang hợp tác với nhau trong một dự án gọi là " Lực lượng đặc nhiệm xác thực di động " để khiến các hành vi lừa đảo chuyển mạng và các loại lừa đảo khác trở nên khó thực hiện hơn.

4. Tránh dựa vào số điện thoại của bạn như một phương pháp bảo mật


Lừa đảo chuyển số điện thoại là một trong những lý do khiến bạn nên tránh bảo mật hai bước dựa trên SMS khi có thể. Tất cả chúng ta đều muốn nghĩ rằng số điện thoại của mình hoàn toàn nằm trong tầm kiểm soát của chúng ta và chỉ được liên kết với những chiếc điện thoại mà chúng ta sở hữu. Trên thực tế, điều đó không đúng—khi bạn dựa vào số điện thoại của mình, bạn đang dựa vào dịch vụ khách hàng của nhà cung cấp dịch vụ di động để bảo vệ số điện thoại của mình và ngăn chặn những kẻ tấn công lấy cắp số đó.

Thay vì nhận mã bảo mật được gửi qua tin nhắn văn bản, chúng tôi khuyên bạn nên sử dụng các phương pháp bảo mật hai yếu tố khác, như Google Authenticator hoặc ứng dụng Authy để tạo mã. Các ứng dụng này tự tạo mã trên điện thoại của bạn, vì vậy, tội phạm thực sự cần phải có điện thoại của bạn—và mở khóa—để lấy mã bảo mật.

Thật không may, nhiều dịch vụ trực tuyến yêu cầu bạn sử dụng xác minh SMS bằng số điện thoại và không cung cấp tùy chọn khác. Và ngay cả khi các dịch vụ cung cấp tùy chọn khác, chúng vẫn có thể cho phép bạn gửi mã đến số điện thoại của mình làm phương thức dự phòng, đề phòng. Bạn không phải lúc nào cũng có thể tránh được mã SMS.

Giống như mọi thứ trong cuộc sống, việc bảo vệ bản thân hoàn toàn là điều không thể. Tất cả những gì bạn có thể làm là gây khó khăn hơn cho những kẻ tấn công—giữ an toàn cho thiết bị của bạn và mật khẩu của bạn ở chế độ riêng tư, đảm bảo bạn có mã PIN an toàn được liên kết với tài khoản điện thoại di động của mình và tránh sử dụng xác minh SMS cho các dịch vụ quan trọng.