Một cuộc điều tra của Bloomberg đã xem xét các bên thứ ba liên quan đến hệ thống mã đăng nhập qua SMS. Và khám phá của họ thật đáng sợ, vì một trong những nhân tố quan trọng nhất trong lĩnh vực này lại có liên quan đến các cơ quan mật vụ và đơn vị giám sát.
WhatsApp, Signal, Amazon, Meta, Google, Binance… tất cả các công ty và ứng dụng này đều dựa trên hệ thống xác thực hai yếu tố để bảo mật tài khoản người dùng, ít nhất là một phần, bằng mã nhận được qua SMS. Một hệ thống có vẻ an toàn từ xa, nếu chúng ta chưa biết rằng tin tặc đã tìm ra cách chặn mã một lần bằng nhiều kỹ thuật khác nhau như hoán đổi SIM.
Tuy nhiên, vấn đề với loại xác thực này thực sự còn sâu xa hơn thế nhiều. Đây là nội dung cuộc điều tra của Bloomberg (qua ZDNET) tiết lộ về các nhà cung cấp dịch vụ thực sự gửi các mã này qua SMS. Các mã này không bao giờ được gửi trực tiếp bởi các thương hiệu được đề cập ở trên. Thay vào đó, tất cả đều sử dụng chuyên gia Thụy Sĩ trong lĩnh vực này tại Châu Âu, được gọi là Fink Telecom Services.
Nhưng đó không phải là tất cả, như Bloomberg đưa tin: “Công ty và người sáng lập đã làm việc với các cơ quan gián điệp của chính phủ và các nhà thầu trong ngành giám sát để theo dõi điện thoại di động và theo dõi vị trí của người dùng.” Và trang web này còn bổ sung: “Các nhà nghiên cứu an ninh mạng và các nhà báo điều tra đã công bố các báo cáo cáo buộc Fink có liên quan đến nhiều vụ xâm nhập vào các tài khoản trực tuyến riêng tư.”
Vì vậy, như bạn có thể thấy, các mã nhận được qua SMS thực sự là một phương thức kết nối kém an toàn hơn nhiều so với những gì bạn có thể tin. Các chính phủ và cơ quan tình báo có thể đang hợp tác với các công ty như Fink để lách mã hóa đầu cuối trên WhatsApp. Hoặc thậm chí truy cập vào ví tiền điện tử của mục tiêu trên Binance. Tất cả những điều này đều có sự đồng lõa của một tác nhân khá gây tranh cãi.
Để thực sự bảo mật tài khoản của bạn bằng xác thực hai yếu tố, bạn nên chuyển sang giải pháp dựa trên khóa vật lý, nếu có thể. Mặc dù cần lưu ý rằng không phải tất cả các dịch vụ trực tuyến đều cho phép điều này.
WhatsApp, Signal, Amazon, Meta, Google, Binance… tất cả các công ty và ứng dụng này đều dựa trên hệ thống xác thực hai yếu tố để bảo mật tài khoản người dùng, ít nhất là một phần, bằng mã nhận được qua SMS. Một hệ thống có vẻ an toàn từ xa, nếu chúng ta chưa biết rằng tin tặc đã tìm ra cách chặn mã một lần bằng nhiều kỹ thuật khác nhau như hoán đổi SIM.
Tuy nhiên, vấn đề với loại xác thực này thực sự còn sâu xa hơn thế nhiều. Đây là nội dung cuộc điều tra của Bloomberg (qua ZDNET) tiết lộ về các nhà cung cấp dịch vụ thực sự gửi các mã này qua SMS. Các mã này không bao giờ được gửi trực tiếp bởi các thương hiệu được đề cập ở trên. Thay vào đó, tất cả đều sử dụng chuyên gia Thụy Sĩ trong lĩnh vực này tại Châu Âu, được gọi là Fink Telecom Services.
Các mã nhận được qua SMS không phải là vấn đề đối với các cơ quan mật vụ
Và khi bạn đào sâu hơn một chút như các đồng nghiệp của chúng tôi đã làm, bạn sẽ nhanh chóng tìm thấy một số tảng đá. Công ty thực sự có quyền kiểm soát một phần cực kỳ nhạy cảm của mạng di động. Fink có kết nối trực tiếp với mạng SS7 toàn cầu – mạng liên nhà điều hành riêng có thể, trong số những thứ khác, chặn thông tin liên lạc, vị trí và tin nhắn văn bản của bất kỳ điện thoại di động nào đang lưu hành.Nhưng đó không phải là tất cả, như Bloomberg đưa tin: “Công ty và người sáng lập đã làm việc với các cơ quan gián điệp của chính phủ và các nhà thầu trong ngành giám sát để theo dõi điện thoại di động và theo dõi vị trí của người dùng.” Và trang web này còn bổ sung: “Các nhà nghiên cứu an ninh mạng và các nhà báo điều tra đã công bố các báo cáo cáo buộc Fink có liên quan đến nhiều vụ xâm nhập vào các tài khoản trực tuyến riêng tư.”
Vì vậy, như bạn có thể thấy, các mã nhận được qua SMS thực sự là một phương thức kết nối kém an toàn hơn nhiều so với những gì bạn có thể tin. Các chính phủ và cơ quan tình báo có thể đang hợp tác với các công ty như Fink để lách mã hóa đầu cuối trên WhatsApp. Hoặc thậm chí truy cập vào ví tiền điện tử của mục tiêu trên Binance. Tất cả những điều này đều có sự đồng lõa của một tác nhân khá gây tranh cãi.
Để thực sự bảo mật tài khoản của bạn bằng xác thực hai yếu tố, bạn nên chuyển sang giải pháp dựa trên khóa vật lý, nếu có thể. Mặc dù cần lưu ý rằng không phải tất cả các dịch vụ trực tuyến đều cho phép điều này.
