Hôm qua hacker đã tung lên mạng một video biểu diễn cách hack một tài khoản Facebook chỉ thông qua số điện thoại đăng ký, làm tăng thêm nguy cơ tiềm ẩn cho bạn nếu không biết cách phòng tránh.
Thông qua việc khai thác mạng SS7 (một tập hợp các giao thức điện thoại được sử dụng để thiết lập hầu hết các cuộc gọi trong mạng PSTN với chức năng chính là thiết lập cuộc gọi, kết thúc cuộc gọi, chuyển đổi số, tính cước, SMS,…), các hacker đã dễ dàng vượt qua hàng loạt “tường lửa” của Facebook. SS7 hiện được hơn 800 nhà mạng viễn thông sử dụng để trao đổi thông tin với nhau, thực hiện thanh toán liên mạng, chuyển vùng cũng như các dịch vụ khác cho thấy nguy cơ lớn đến mức nào.
Các thức hacker thực hiện rất đơn giản, bạn xem video clip dưới đây:
Đầu tiên, hacker sẽ vào Facebook và sử dụng chức năng Quên mật khẩu (forgot account?), sau đó điền vào số điện thoại đã đăng ký tài khoản Facebook. Việc làm này sẽ khiến Facebook gửi một mã xác nhận về số điện thoại này để phục hồi mật khẩu. Và thông qua việc tấn công vào mạng SS7, hacker sẽ bắt được “tín hiệu” tin nhắn này, giải mã và có ngay mã phục hồi. Hacker chỉ việc điền vào và đặt mật khẩu mới, vậy là xong.
Hiện vẫn không rõ các trang hỗ trợ xác nhận hai bước như Gmail, Evernote,… có thể bị tấn công dạng này không. Tuy nhiên bạn cũng nên tự bảo vệ mình bằng cách không public số điện thoại mình trên MXH hoặc bạn hãy tắt cách xác thực tài khoản qua tin nhắn SMS.