Sao còn dùng OTP qua SMS? Chuyên gia đang kêu "nguy hiểm" nha các bạn! ⚠️

KemPinky

New member
Các cao thủ an ninh mạng giờ đang khuyên mọi người đừng nhận OTP qua tin nhắn SMS nữa đó các bro. Nghe có vẻ sốc nhỉ?

7d8165acea1979a7ec06.png


Suốt mấy năm qua, OTP gửi qua SMS vẫn được coi là "lá chắn" bảo vệ tài khoản ngân hàng, mạng xã hội hay các dịch vụ online. Nhưng plot twist là các chuyên gia an ninh mạng trên thế giới, từ Google đến NIST (Viện Tiêu chuẩn và Công nghệ Hoa Kỳ), đều khuyên nên chuyển sang những phương thức mạnh hơn như ứng dụng tạo mã, khóa bảo mật FIDO2 hay xác thực bằng push notification rồi!

Bạn cần hiểu là OTP không chỉ có một loại, và độ an toàn của mỗi phương thức khác nhau đáng kể luôn. Ant Allan, Phó Chủ tịch phân tích tại Gartner Research, nhấn mạnh: "Kinh nghiệm cho thấy luôn có cách để vượt qua các biện pháp xác thực, nhưng một số phương thức vẫn an toàn hơn. Không có phương pháp nào tuyệt đối an toàn". Trong đó, OTP qua SMS được đánh giá là dễ bị "bẻ khóa" nhất vì những lý do sau nè:

1. Mã OTP bị hack khi SIM bị chiếm đoạt

Tấn công chiếm đoạt SIM hiện đang là một trong những kiểu lừa đảo hot nhất ở nhiều nước. Chỉ cần bọn scammer thuyết phục được nhà mạng cấp lại SIM bằng thông tin giả, toàn bộ tin nhắn kể cả OTP sẽ bay thẳng vào thiết bị của chúng luôn.

Theo FBI (Báo cáo Internet Crime 2023), thiệt hại từ chiếm đoạt SIM ở Mỹ đã lên tới gần 100 triệu USD chỉ trong một năm đó! Các ngân hàng châu Âu cũng ghi nhận hàng nghìn trường hợp khách hàng bị rút sạch tiền sau vài giờ vì OTP bị chuyển hướng khi SIM bị chiếm đoạt.

Điểm đáng sợ là bạn không hề biết mình đã mất quyền kiểm soát SIM. Điện thoại mất sóng, tưởng lỗi mạng, nhưng thực tế OTP đang được chuyển sang tay bọn xấu rồi đó.

2. Tin nhắn SMS không được mã hóa

Hacker có thể dùng thiết bị giả trạm BTS để thu tín hiệu và đọc SMS như đọc báo vậy. Một số phần mềm gián điệp có thể chặn tin nhắn ngay trên thiết bị mà bạn không biết gì cả. Báo cáo của Positive Technologies (2017) từng cảnh báo rằng "mọi mạng di động lớn trên thế giới đều tồn tại lỗ hổng cho phép chặn SMS".

3. Mã OTP bị ăn cắp vì thủ đoạn lừa đảo Phishing

OTP qua SMS chỉ là "một dãy số trơn trơn", không gắn với thiết bị, phần cứng hay hành vi người dùng. Do đó, khi kẻ lừa đảo gửi đường link giả mạo (ngân hàng, mạng xã hội…), chỉ cần bạn nhập mã SMS vừa nhận được, game over! Chúng sẽ có full quyền truy cập luôn.

Đây là dạng lừa đảo phổ biến nhất đó, các vụ phishing ngân hàng thường dựa vào việc nạn nhân tự gửi OTP cho kẻ gian mà không hề hay biết. Đau đớp nha!

4. Ứng dụng độc hại có thể đọc trộm SMS

Đặc biệt với anh em dùng Android, rất nhiều ứng dụng có quyền đọc SMS (ví dụ ứng dụng giả mạo tiện ích, trò chơi, app chỉnh sửa ảnh lạ lạ...). Khi thiết bị nhiễm mã độc, mọi OTP gửi về đều nằm trong tay bọn tấn công.

Nhiều chiến dịch tấn công tại Đông Nam Á – như malware FluBot, Anatsa, Xenomorph – đều nhắm vào tính năng đọc SMS để chiếm tài khoản ngân hàng và ví điện tử. Nghe xong muốn xóa hết app liền!

5. SMS có thể đến chậm, thất lạc hoặc bị chặn

Bên cạnh vấn đề an ninh, SMS còn thiếu ổn định: Chậm khi nghẽn mạng, không đến được khi ở nước ngoài hoặc chuyển vùng. Cái này chắc ai cũng từng trải nghiệm rồi đúng không?

6. SMS không chống được tấn công trung gian

Ngay cả khi bạn truy cập trang web chính thống, nếu thiết bị đã bị xâm nhập, hacker có thể chặn quy trình đăng nhập và lấy OTP từ SMS. Vì nhận OTP thông qua SMS không ràng buộc với thiết bị hay giao dịch, kẻ gian có thể dùng mã đó cho một giao dịch khác mà bạn không hề hay biết.

Vậy đâu là lựa chọn an toàn hơn?

1. Ứng dụng tạo mã OTP – Google Authenticator, Microsoft Authenticator... ✨

Mã tạo trực tiếp trên thiết bị, không truyền qua nhà mạng. Bọn scammer không thể chặn giữa đường. Đây là giải pháp phổ biến nhất hiện giờ, recommend luôn!

2. Xác thực bằng ứng dụng ngân hàng (soft-token/push notification)

Nhiều ngân hàng đã chuyển sang "xác thực giao dịch trên app": mã được sinh nội bộ hoặc yêu cầu người dùng bấm xác nhận bằng vân tay/FaceID. Tiện và an toàn hơn nhiều nha!

3. Passkey / FIDO2 – tiêu chuẩn bảo mật mạnh nhất

Google, Apple, Microsoft đang thúc đẩy xác thực không mật khẩu. Passkey gắn chặt với thiết bị, chống phishing tuyệt đối. Xịn xò vãi!

Tóm cái váy lại♀️

Nhận mã OTP qua SMS không còn phù hợp trong bối cảnh tội phạm mạng ngày càng tinh vi rồi các bạn ơi. Nó có thể bị chặn, bị đọc, bị chuyển hướng hoặc bị đánh cắp qua lừa đảo. Các tổ chức bảo mật hàng đầu thế giới đều thống nhất quan điểm: nhận mã OTP qua SMS chỉ nên là phương án dự phòng, không phải lớp bảo vệ chính.

Nguồn: soha.vn
 
Back
Top