Cài đặt này sẽ bảo vệ bạn khỏi cuộc tấn công hoán đổi SIM

Hoán đổi SIM, còn được gọi là simjacking, là một hình thức lừa đảo mà ai đó thuyết phục nhà cung cấp dịch vụ điện thoại của bạn chuyển số điện thoại sang thẻ SIM mà họ sở hữu. Điều này khiến bạn mất quyền truy cập vào số điện thoại và dịch vụ của nhà cung cấp, trong khi kẻ tấn công có toàn quyền truy cập vào những thông tin này trên điện thoại của chúng.

Để thuyết phục thành công nhân viên hỗ trợ của nhà mạng hoán đổi SIM, kẻ lừa đảo phải có thông tin về bạn. Chúng có thể thu thập thông tin này từ các vụ rò rỉ dữ liệu, chẳng hạn như sử dụng các công cụ miễn phí để kiểm tra dữ liệu trên dark web. Thay vào đó, chúng có thể lừa bạn cung cấp thông tin thông qua một trò lừa đảo, hoặc thậm chí bằng cách thu thập thông tin cá nhân trên mạng xã hội nếu bạn chia sẻ quá nhiều thông tin công khai.

Sau khi có thông tin, chúng sẽ gọi đến số điện thoại hỗ trợ khách hàng của nhà mạng. Chúng lừa nhà mạng nghĩ rằng chúng chính là bạn và cần hỗ trợ chuyển số sang điện thoại/thẻ SIM mới. Vì nhu cầu này có thể là chính đáng, chẳng hạn như khi bạn bị mất điện thoại, nên không cần phải thuyết phục nhà mạng nhiều.

Những nguy hiểm của việc hoán đổi SIM

Bạn không cần phải tìm đâu xa để thấy vấn đề ở đây: Người có số điện thoại của bạn có thể mạo danh bạn với gia đình và bạn bè, lừa họ chuyển tiền cho kẻ giả mạo. Và vì hầu hết các dịch vụ trực tuyến đều cho phép bạn khôi phục tài khoản bằng số điện thoại, nên việc truy cập vào số điện thoại chính là chìa khóa để xâm nhập vào các tài khoản khác của bạn.

Việc hoán đổi SIM đặc biệt nguy hiểm vì xác thực hai yếu tố (2FA) dựa trên SMS (tin nhắn văn bản) vẫn còn phổ biến. Ngày càng có nhiều dịch vụ yêu cầu bạn bật 2FA trên tài khoản của mình, nhưng đôi khi lựa chọn duy nhất là qua SMS. Nếu kẻ gian hoán đổi SIM thành công, bất kỳ biện pháp bảo mật bổ sung nào bạn có qua SMS 2FA đều trở nên vô nghĩa.

Hãy bật cài đặt này để giữ an toàn!

May mắn thay, các nhà mạng đã nhận thức được vấn đề này và hiện nay nhiều nhà mạng đã cung cấp cho người dùng những công cụ để khắc phục. Trước tiên, bạn nên kiểm tra trên trang web hoặc ứng dụng di động của nhà mạng để xem có tùy chọn tắt yêu cầu thay đổi SIM hay không.

Tùy chọn này là lá chắn tốt nhất của bạn chống lại các cuộc tấn công hoán đổi SIM, vì nó ngăn chặn chúng xảy ra ngay từ gốc rễ.

Nếu nhà mạng của bạn không cung cấp tùy chọn này, hãy kiểm tra xem có tùy chọn nào cho phép bật mã PIN hoặc cụm từ bí mật trên tài khoản của bạn không. Một số công ty cho phép bạn thiết lập những tùy chọn này, sau đó bạn sẽ cần cung cấp chúng khi gọi điện để hỏi về tài khoản của mình.

Các cách khác để bảo vệ khỏi các cuộc tấn công hoán đổi SIM

Mặc dù tùy chọn nhà mạng sẽ giúp bạn an toàn trước hầu hết các cuộc tấn công đánh cắp dữ liệu SIM, nhưng việc tăng cường bảo mật cũng không hề thừa. Các phương pháp bảo vệ khác cũng rất quan trọng nếu nhà mạng của bạn chưa cung cấp tùy chọn này.

Không sử dụng 2FA qua SMS

Do nguy cơ hoán đổi SIM, cùng với sự thiếu an toàn chung của SMS, việc tắt 2FA qua SMS khỏi bất kỳ tài khoản nào cho phép bạn làm như vậy là một bước đi bảo mật khôn ngoan. Sự cân bằng tốt nhất giữa bảo mật và tiện lợi cho hầu hết mọi người là các ứng dụng 2FA, thường xuyên tạo mã bạn phải nhập khi đăng nhập trên thiết bị mới.

Tùy chọn 2FA cho tài khoản Google

Bài viết không khuyên dùng Authy cho việc này; ứng dụng này đã lỗi thời về mặt giao diện, đã từng bị vi phạm bảo mật trong quá khứ và không cho phép xuất khóa nếu bạn quyết định chuyển sang một ứng dụng 2FA khác sau này. Proton Authenticator là một ứng dụng mới đáng tin cậy từ một công ty đáng tin cậy; bạn cũng có thể lưu mã 2FA trong trình quản lý mật khẩu nếu bạn không ngại lưu tất cả chúng ở cùng một nơi.

Nếu một dịch vụ chỉ cung cấp xác thực hai yếu tố (2FA) qua tin nhắn văn bản, thì còn hơn không. Tuy nhiên, bạn nên chọn một tùy chọn khác khi có sẵn.

Bật mã PIN SIM trên điện thoại

Cả Android và iOS đều cung cấp tùy chọn khóa thẻ SIM bằng mã PIN riêng. Với tính năng này, mỗi khi khởi động lại điện thoại hoặc tháo SIM, bạn sẽ phải nhập mã PIN đã đặt (khác với mã PIN mở khóa điện thoại).

Trên iPhone, bạn sẽ tìm thấy tùy chọn này trong mục Settings > Cellular. Nếu bạn có nhiều SIM, hãy nhấn vào tài khoản tương ứng. Sau đó, chọn SIM PIN. Trên Android, hãy tìm kiếm "SIM PIN" trong ứng dụng Settings.

Bạn có thể được yêu cầu nhập mã PIN hiện có; nếu không biết, bạn không nên đoán, vì nếu nhập sai quá nhiều lần sẽ khóa SIM của bạn - khi đó bạn sẽ phải liên hệ với nhà mạng để sửa hoặc mua SIM mới.

Mã PIN SIM mặc định của nhiều nhà mạng là "1234" hoặc 4 chữ số cuối của số điện thoại, nhưng bạn nên kiểm tra trang web chính thức hoặc liên hệ với bộ phận hỗ trợ để chắc chắn.

Tùy chọn này chỉ hữu ích nếu bạn nghĩ rằng ai đó có thể đánh cắp thẻ SIM vật lý của bạn và lắp vào điện thoại. Nếu không, bạn không nên sử dụng tùy chọn này, vì đây lại là một mã PIN khác cần nhớ, và việc phải mở khóa SIM mỗi khi khởi động lại điện thoại thật phiền phức.

Mặc dù eSIM vẫn có thể bị xâm phạm, nhưng không có dữ liệu vật lý nào bị đánh cắp. Nguy cơ ai đó sử dụng trái phép số điện thoại của bạn trên thiết bị là rất thấp, miễn là bạn có mã PIN màn hình khóa mạnh.

Các cuộc tấn công hoán đổi SIM có thể xảy ra bất ngờ, vì vậy việc chủ động ngăn chặn chúng là điều đáng làm. Nếu bạn đột nhiên mất sóng di động, không thể gọi điện, hoặc gặp các tình huống tương tự, bạn nên liên hệ ngay với nhà mạng để đảm bảo SIM của mình không bị đánh cắp.

Và hãy nhớ rằng bạn không bao giờ nên cung cấp thông tin trực tuyến nhiều hơn mức cần thiết. Giữa tình trạng vi phạm dữ liệu thường xuyên và thông tin chúng ta công khai, những kẻ xấu có thể dễ dàng lấy cắp thông tin đó và sử dụng để chống lại bạn.