Hiểu về các cuộc tấn công SIM Swap: Cách hacker lợi dụng số điện thoại của bạn

Các cuộc tấn công đổi SIM (SIM swap) là một trong những mối đe dọa nguy hiểm nhất mà người dùng tiền điện tử ngày nay phải đối mặt. Khác với các cuộc tấn công hack truyền thống đòi hỏi kỹ năng lập trình phức tạp, việc đổi SIM khai thác một lỗ hổng cơ bản trong cách các nhà mạng xác minh quyền sở hữu tài khoản. Bằng cách giả danh mục tiêu và thao túng nhân viên dịch vụ khách hàng của nhà mạng, kẻ tấn công có thể chuyển hướng số điện thoại của bạn sang SIM của chúng, từ đó kiểm soát hoàn toàn một trong những tài sản kỹ thuật số nhạy cảm nhất của bạn.

Đổi SIM là gì và hoạt động như thế nào?

Về cơ bản, đổi SIM (còn gọi là SIM jacking) là một hình thức trộm danh tính, trong đó kẻ tấn công thuyết phục nhà cung cấp dịch vụ di động chuyển số điện thoại của nạn nhân sang một SIM mới do chúng kiểm soát. Quá trình này thường bắt đầu bằng việc thu thập thông tin cá nhân của mục tiêu qua mạng xã hội, các vụ rò rỉ dữ liệu hoặc hồ sơ công khai. Với các chi tiết như tên, địa chỉ và số tài khoản của nạn nhân, chúng liên hệ với bộ phận dịch vụ khách hàng của nhà mạng và giả danh chủ tài khoản, nói rằng đã mất điện thoại hoặc nâng cấp thiết bị.

Khi thành công, kẻ tấn công kiểm soát hoàn toàn số điện thoại của nạn nhân. Thay đổi nhỏ này mở ra một cánh cửa hậu đến hầu hết các tài khoản kỹ thuật số mà nạn nhân sở hữu.

Tại sao nhà đầu tư tiền điện tử đối mặt với rủi ro cao hơn từ các vụ lừa đảo đổi SIM

Đối với những người sở hữu tiền điện tử, các cuộc tấn công đổi SIM đặc biệt nguy hiểm. Khi kẻ tấn công kiểm soát được số điện thoại của bạn, chúng có thể dùng nó để đặt lại mật khẩu các tài khoản email và bỏ qua xác thực hai yếu tố (2FA) trên các sàn giao dịch và nền tảng ví tiền điện tử. Hầu hết các quy trình khôi phục tài khoản đều gửi mã xác thực qua SMS — một biện pháp bảo mật trở nên vô dụng khi kẻ tấn công kiểm soát số điện thoại của bạn.

Điều này có nghĩa là kẻ tấn công có thể truy cập hệ thống email của bạn, rút sạch tiền từ các tài khoản giao dịch và chuyển tiền điện tử từ ví của bạn. Khác với các hình thức gian lận truyền thống, các giao dịch tiền điện tử thường không thể hoàn tác. Một vụ đổi SIM thành công trên một nhà đầu tư tiền điện tử thường dẫn đến mất toàn bộ tài chính mà ít hy vọng khôi phục.

Trường hợp của Vitalik Buterin: Một cảnh báo thực tế

Lỗ hổng này trở nên rõ ràng hơn vào tháng 9 năm 2023 khi đồng sáng lập Ethereum, Vitalik Buterin, trở thành nạn nhân của một vụ đổi SIM. Các hacker đã kiểm soát tài khoản điện thoại của ông trên T-Mobile và dùng số điện thoại bị xâm phạm để chiếm quyền kiểm soát tài khoản Twitter (hiện là X) của ông. Từ tài khoản đã xác thực, chúng đăng một liên kết giả mạo về phát hành NFT, hướng dẫn người dùng không cảnh giác nhấp vào URL độc hại. Dù cuối cùng, các tài khoản của Buterin đã được khôi phục, vụ việc này đã cảnh tỉnh cộng đồng crypto, cho thấy ngay cả những nhân vật nổi bật, có ý thức bảo mật cao cũng vẫn dễ bị tấn công qua lỗ hổng này.

Cách tự bảo vệ khỏi các cuộc tấn công đổi SIM

Phòng vệ đáng tin cậy nhất chống lại các vụ đổi SIM là kết hợp nhiều lớp bảo mật. Đầu tiên, yêu cầu nhà mạng thêm lớp bảo vệ bằng mã PIN hoặc mật khẩu cho mọi thay đổi tài khoản. Thứ hai, và quan trọng nhất, hãy từ bỏ xác thực hai yếu tố dựa trên SMS khi có thể. Thay vào đó, sử dụng các ứng dụng xác thực như Google Authenticator hoặc Authy, hoặc các thiết bị bảo mật phần cứng tạo mã xác thực độc lập với số điện thoại của bạn.

Đặc biệt đối với các tài khoản tiền điện tử, hãy kích hoạt tất cả các tính năng bảo mật có thể: danh sách trắng địa chỉ rút tiền, sử dụng ví phần cứng để lưu trữ lâu dài, và quan trọng nhất, áp dụng xác thực hai yếu tố dựa trên phần cứng. Cân nhắc lưu trữ các tài sản kỹ thuật số giá trị nhất của bạn trong kho lạnh hoặc ví đa chữ ký yêu cầu sự phê duyệt từ nhiều bên.

Các cuộc tấn công đổi SIM chứng minh lý do tại sao việc bảo vệ thông tin cá nhân là điều không thể thương lượng trong lĩnh vực crypto. Số điện thoại của bạn giờ đây là cánh cổng dẫn đến an ninh tài chính của bạn—hãy đối xử với nó một cách cẩn trọng.