Tại Sao Tôi Không Sử Dụng SMS Cho Xác Thực Hai Yếu Tố Nữa

SIM Swapping Cho Phép Hacker Đánh Cắp Số Điện Thoại Của Bạn

Một trong những rủi ro đáng báo động nhất khi sử dụng SMS cho 2FA là SIM swapping, kỹ thuật mà kẻ tấn công lừa đảo nhà cung cấp dịch vụ di động của bạn chuyển số điện thoại của bạn sang một thẻ SIM mới. Khi họ kiểm soát số điện thoại của bạn, họ có thể đánh chặn bất kỳ tin nhắn SMS nào được gửi đến số đó.

Cách thức hoạt động như sau: kẻ tấn công liên hệ với nhà cung cấp dịch vụ di động của bạn, giả danh là bạn. Sử dụng thông tin cá nhân bị đánh cắp như địa chỉ hoặc bốn chữ số cuối của số An sinh xã hội, họ thuyết phục nhà cung cấp chuyển số điện thoại của bạn sang thẻ SIM của họ. Khi quá trình chuyển đổi hoàn tất, kẻ tấn công sẽ đánh chặn các tin nhắn văn bản gửi đến số điện thoại của bạn, bao gồm cả các mã 2FA được sử dụng để bảo vệ tài khoản của bạn.

Thiệt hại không dừng lại ở đó. Nhiều người trong chúng ta liên kết số điện thoại với nhiều tài khoản, từ email đến mạng xã hội và các ứng dụng ngân hàng. Một vụ SIM swapping thành công có thể cấp cho kẻ tấn công quyền truy cập vào nhiều tài khoản liên kết với số điện thoại của bạn. Hướng dẫn trước đây của chúng tôi về SIM swapping là gì và cách bảo vệ bản thân có thể giúp bạn tránh khỏi trò lừa đảo ngày càng phổ biến này.

Tin Nhắn SMS Có Thể Bị Đánh Chặn

Tin nhắn smishing với biểu tượng phong bì bên cạnh laptop

Ngay cả khi bạn tránh được SIM swapping, chính các tin nhắn SMS cũng không an toàn. Chúng đi qua các mạng có thể bị tấn công. Hacker có thể khai thác các điểm yếu trong Hệ thống Tín hiệu Số 7 (SS7), giao thức viễn thông toàn cầu cho phép các nhà mạng định tuyến cuộc gọi và tin nhắn. Bằng cách khai thác SS7, kẻ tấn công có thể đánh chặn tin nhắn SMS của bạn mà không cần truy cập vào điện thoại vật lý của bạn.

Đây không chỉ là lý thuyết; SIM hacking là một vấn đề đã được ghi nhận rõ ràng. Tội phạm mạng và thậm chí cả một số nhóm do nhà nước tài trợ đã sử dụng lỗ hổng SS7 để theo dõi các cuộc giao tiếp và đánh cắp thông tin nhạy cảm. Vì SMS thiếu mã hóa, nội dung tin nhắn, bao gồm cả mã một lần, bị lộ trong quá trình truyền tải.

Một cách khác mà tin nhắn có thể bị xâm phạm là thông qua các ứng dụng độc hại hoặc phần mềm gián điệp được cài đặt trên thiết bị của bạn. Những chương trình này có thể theo dõi các tin nhắn SMS đến và chuyển tiếp mã 2FA cho kẻ tấn công mà bạn không biết.

SMS Phụ Thuộc Vào Số Điện Thoại Của Bạn

Một người đang cố gắng nhập số điện thoại trên iPhone

Một nhược điểm lớn khác của xác thực hai yếu tố qua SMS là sự phụ thuộc vào số điện thoại của bạn. Khả năng nhận mã của bạn được liên kết trực tiếp với dịch vụ di động của bạn. Nếu bạn ở khu vực có tín hiệu kém, xác thực hai yếu tố qua SMS trở nên hoàn toàn vô dụng, ngay cả khi bạn có Wi-Fi. Không giống như các phương pháp xác thực khác có thể hoạt động qua kết nối internet, SMS yêu cầu tín hiệu di động ổn định.

Sự phụ thuộc này có thể khiến bạn gặp khó khăn trong các tình huống mà bạn cần truy cập vào tài khoản của mình nhưng không thể nhận mã. Dù đang du lịch ở một vùng xa xôi hay chỉ đơn giản là trong một tòa nhà có tín hiệu kém, hạn chế này làm cho SMS kém đáng tin cậy hơn so với các phương án thay thế.

Tôi Sử Dụng Gì Thay Thế: Ứng Dụng Xác Thực

Người đàn ông nhập mã xác thực hai yếu tố trên smartphone với logo Google Authenticator phía trước

Thay vì dựa vào SMS cho 2FA, tôi đã chuyển sang sử dụng ứng dụng xác thực hai yếu tố. Các ứng dụng như Google Authenticator, Microsoft Authenticator và Authy tạo ra các mật khẩu một lần dựa trên thời gian (TOTP) trực tiếp trên thiết bị của bạn, cung cấp một giải pháp an toàn và đáng tin cậy hơn so với SMS.

Ưu điểm đầu tiên của các ứng dụng xác thực là bảo mật. Không giống như SMS, các ứng dụng này tạo mã trực tiếp trên điện thoại của bạn, nghĩa là chúng không được truyền qua các mạng có thể bị đánh chặn hoặc khai thác. Chúng cũng được bảo vệ bởi các lớp bảo mật bổ sung – nhiều ứng dụng yêu cầu mật mã, dấu vân tay hoặc quét khuôn mặt để truy cập mã.

Một lý do khác mà tôi ưa thích các ứng dụng xác thực là khả năng hoạt động ngoại tuyến. Vì các mã được tạo trực tiếp trên thiết bị, bạn không cần kết nối di động để sử dụng chúng. Dù bạn ở khu vực không có dịch vụ hay chỉ đơn giản là trong nhà có tín hiệu kém, bạn vẫn có thể truy cập mã của mình miễn là bạn có thiết bị.

Tôi ưa thích Authy hơn các ứng dụng xác thực khác vì nó cung cấp bản sao lưu đám mây, giúp dễ dàng khôi phục tài khoản của tôi nếu tôi mất điện thoại. Đồng thời, nó bảo mật các bản sao lưu này bằng mã hóa, đảm bảo rằng chỉ có tôi mới có thể truy cập chúng. Google Authenticator cũng là một lựa chọn phổ biến. Cả hai tùy chọn đều miễn phí, được hỗ trợ rộng rãi và dễ thiết lập.

Sử dụng ứng dụng xác thực rất đơn giản. Khi bạn đã thiết lập, thường bằng cách quét mã QR do trang web cung cấp trong quá trình thiết lập 2FA, bạn chỉ cần mở ứng dụng để truy cập mã mỗi khi đăng nhập. Các mã này được làm mới mỗi 30 giây, vì vậy ngay cả khi ai đó đánh cắp được một mã, nó sẽ trở nên vô dụng gần như ngay lập tức.

Xác thực hai yếu tố là cần thiết để giữ cho tài khoản của bạn an toàn, nhưng phương pháp bạn sử dụng có tầm quan trọng lớn. Trong khi xác thực hai yếu tố qua SMS có thể có vẻ tiện lợi, nó lại chứa đầy các lỗ hổng – từ SIM swapping đến các phương pháp đánh chặn và thậm chí là các vấn đề thực tế như tín hiệu di động kém. Những rủi ro này làm cho SMS trở thành một biện pháp bảo vệ không đáng tin cậy cho bảo mật trực tuyến của bạn.