Việc hack Facebook bằng SĐT là một trong những vấn đề đáng lo ngại trên mạng xã hội hiện nay. Thực tế là, nếu ai đó biết cách tận dụng các cuộc tấn công thông qua mạng SS7 cùng với một số kỹ năng đơn giản về hack, thì họ có thể dễ dàng chiếm quyền kiểm soát tài khoản Facebook của người khác.
Giao thức SS7 (Signaling System #7) là một tập hợp các giao thức điện thoại được sử dụng để thiết lập hầu hết các cuộc gọi trong mạng PSTN. Nó đã được mở rộng để hỗ trợ các mạng khác như mạng di động mặt đất PLMN và mạng số tích hợp đa dịch vụ ISDN. Một số hacker đã lợi dụng lỗ hổng trong mạng SS7 để hack tài khoản Facebook của người khác chỉ cần biết số điện thoại của họ.
Kẻ tấn công sẽ bắt đầu bằng việc nhấp vào “quên tài khoản” trên trang chủ Facebook.com. Sau đó, Facebook yêu cầu cung cấp số điện thoại hoặc địa chỉ email. Hacker sau đó nhập số điện thoại hợp lệ của nạn nhân vào.
Tiếp theo, hacker sẽ chuyển hướng tin nhắn chứa mã OTP (mã xác nhận một lần) đến điện thoại hoặc máy tính của họ, từ đó họ có thể đăng nhập vào tài khoản Facebook của nạn nhân.
Vấn đề này ảnh hưởng đến tất cả người dùng Facebook đã liên kết số điện thoại với tài khoản và xác minh qua tin nhắn Facebook.
Ngoài việc hack tài khoản Facebook, các nhà nghiên cứu cho biết bất kỳ dịch vụ nào sử dụng SMS để xác nhận tài khoản như Gmail và Twitter cũng có thể bị hack theo cách tương tự.
Mặc dù các nhà mạng vẫn chưa thể khắc phục lỗ hổng này, người dùng có thể thực hiện một số biện pháp để tránh.
- Hạn chế liên kết tài khoản mạng xã hội với số điện thoại và sử dụng email để khôi phục tài khoản Facebook và các tài khoản mạng xã hội khác.
- Sử dụng tính năng xác minh hai lớp mà không sử dụng tin nhắn SMS để nhận mã OTP.
- Sử dụng ứng dụng liên lạc hỗ trợ mã hóa “end-to-end” để bảo mật dữ liệu trước khi gửi tin nhắn, thay vì sử dụng tính năng gọi và nhắn tin thông thường.
Tuy nhiên, vấn đề không nằm ở lớp bảo mật của Facebook hay các trang web khác, mà chỉ là một điểm yếu trong hệ thống viễn thông. Người phát ngôn của Facebook đã cho biết: “Do công nghệ này đòi hỏi đầu tư kỹ thuật và tài chính lớn, nên đây chỉ là một rủi ro rất nhỏ đối với đa số người dùng”.
Để tăng cường an ninh, Facebook khuyến khích người dùng kích hoạt tính năng xác minh hai lớp, được gọi là “Xét duyệt đăng nhập”, trong phần cài đặt bảo mật trên Facebook. Khi tính năng này được bật, việc khôi phục tài khoản qua tin nhắn SMS sẽ bị vô hiệu hóa. Điều này có nghĩa là ngay cả khi ai đó có số điện thoại của bạn, họ cũng cần phải có mật khẩu để truy cập vào tài khoản của bạn.
