Với thứ đơn giản như một chuỗi số trên thẻ SIM điện thoại, tin tặc có thể nhanh chóng rút cạn tài khoản ngân hàng của bạn.
Tội phạm mạng thậm chí không cần phải đánh cắp điện thoại để có quyền truy cập vào số điện thoại và thông tin cá nhân của bạn. Phương thức mà chúng sử dụng là “tráo đổi thẻ SIM”.
Thẻ SIM hoạt động như thế nào?
Bạn có nhớ lần gần nhất mình mua điện thoại mới? Nhân viên kỹ thuật tại cửa hàng thường giúp bạn chuyển thẻ SIM từ điện thoại cũ sang điện thoại mới.
Có một điều bạn có lẽ không ngờ tới, đó là chiếc SIM nhỏ bé này sẽ lưu trữ tất cả thông tin tài khoản cần thiết của bạn. Khi số ICCID (mã số của SIM, gồm 20 chữ số) rơi vào tay tội phạm mạng, bạn sẽ gặp rắc rối.
Mỗi dãy số ICCID đều là duy nhất và là đặc điểm nhận dạng riêng cho thẻ SIM, tương tự như số CMND hay số tài khoản ngân hàng.
Tráo đổi thẻ SIM
Chiêu lừa đảo tráo đổi thẻ SIM bao gồm rất nhiều mánh khóe. Tin tặc sẽ liên hệ với nhà cung cấp dịch vụ của bạn và bày tỏ nguyện vọng muốn nói chuyện với một nhân viên đặc biệt đáng tin cậy. Tiếp theo, tin tặc sẽ mạo danh bạn để lấy đi thứ họ muốn: Dữ liệu thẻ SIM của bạn.
Nếu lừa đảo thành công, dữ liệu trên thẻ SIM của bạn sẽ chuyển sang SIM của tin tặc. Chúng thậm chí không cần tháo thẻ SIM của bạn, cũng không quan tâm đến tin nhắn văn bản hoặc các cuộc gọi điện thoại từ bạn bè của bạn, mà nhắm tới việc nhận tin nhắn xác thực hai yếu tố (2FA) từ các tài khoản chứa thông tin có giá trị của bạn.
Hầu hết các ngân hàng đều yêu cầu xác thứ 2 yếu tố khi bạn đăng nhập vào tài khoản trực tuyến. Nhưng thay vì bạn nhập mật khẩu một lần (OTP) nhận được qua SMS, tin tặc mới là người làm điều đó.
Nếu lộ, dãy số nhỏ này trên SIM điện thoại có thể khiến tài khoản ngân hàng của bạn bị rút cạn – Ảnh 1.
Trình tự cuộc tấn công
Để tin tặc thực hiện thành công chiêu trò tráo đổi thẻ SIM, chúng phải tìm hiểu càng nhiều càng tốt về bạn. Tin tặc làm điều này bằng cách truy xuất thông tin cá nhân của bạn, để có thể mạo danh bạn mà không bị nghi ngờ.
“Làm thế nào họ lấy được thông tin cá nhân của tôi? – Có lẽ bạn đang thầm hỏi như vậy lúc này. Trên thực tế, tin tặc có thể cài đặt theo dõi trên thiết bị của bạn thông qua email hoặc đường link độc hại. Song, đó không phải là con đường duy nhất. Đôi lúc, chúng sẽ có được thông tin chỉ bằng cách kết bạn trực tuyến và tương tác với bạn.
Sau khi tin tặc có đủ thông tin về bạn, chúng sẽ gọi cho nhà cung cấp điện thoại và mạo danh bạn, yêu cầu nhà cung cấp chuyển số điện thoại của bạn sang thẻ SIM mới.
Với thành công ở bước trên, tin tặc có thể truy cập tài khoản của bạn bằng cách sử dụng mã OTP được gửi tới số điện thoại vừa đánh cắp và thực hiện xác thực 2 yếu tố.
Nếu lộ, dãy số nhỏ này trên SIM điện thoại có thể khiến tài khoản ngân hàng của bạn bị rút cạn – Ảnh 2.
Làm gì để đảm bảo an toàn?
Dưới đây là một số cách hiệu quả nhất để ngăn chặn tin tặc tráo đổi thẻ SIM:
1. Thay đổi phương thức xác thực 2 yếu tố
Nhận mã xác thực 2 yếu tố thông qua tin nhắn văn bản rất tiện lợi, nhưng nó có thể khiến tình hình trở nên tồi tệ hơn một khi bạn là nạn nhân của chiêu trò tráo đổi thẻ SIM.
Thay vào đó, bạn có thể sử dụng các ứng dụng xác thực để liên kết OTP với điện thoại. Chỉ cần kết nối ứng dụng với các tài khoản quan trọng nhất, bạn sẽ nhận được mã bảo mật của mình thông qua đó.
2. Thiết lập mã PIN với nhà cung cấp dịch vụ di động
Việc bổ sung mã PIN vào tài khoản của bạn sẽ khiến tin tặc khó truy cập hơn. Tin tặc sẽ phải cung cấp mã PIN hoặc mã bí mật của bạn khi cố gắng thực hiện các thay đổi đối với tài khoản của bạn.
3. Tách số điện thoại khỏi các tài khoản trực tuyến
Xóa bỏ số điện thoại của bạn khỏi các tài khoản trực tuyến quan trọng nhất sẽ giúp bạn không phải lo lắng về chiêu trò tráo đổi thẻ SIM. Bạn cũng nên xóa số điện thoại của mình khỏi các mạng xã hội lớn và website của các nhà bán lẻ trực tuyến.
4. Cảnh giác với các chiêu trò lừa đảo
Hãy xóa bỏ những email yêu cầu thông tin cá nhân của bạn. Các ngân hàng và tổ chức uy tín sẽ không bao giờ yêu cầu thông tin bí mật qua email.
Những loại email này đều là kết quả của việc tin tặc tìm cách đánh cắp thông tin của bạn. Hiểu rõ các phương thức lừa đảo sẽ giúp bạn bảo mật dữ liệu trực tuyến của mình.
Theo nguồn sưu tầm.