Các công ty đưa xác thực SMS vào đăng nhập đang đối mặt tranh cãi về trách nhiệm trong các cuộc tấn công SIM swap
(keydiscussions.com)- Tấn công SIM swap là hình thức khiến nhà mạng chuyển số điện thoại của nạn nhân sang thiết bị của kẻ tấn công, rồi chặn mã đăng nhập SMS và mã đặt lại mật khẩu; điểm tranh cãi cốt lõi là việc doanh nghiệp đã đưa kênh yếu này vào luồng xác thực
- SMS được truyền dưới dạng văn bản thuần và không phải giao thức bảo mật, nên khi dùng cho đặt lại mật khẩu, khôi phục tài khoản, onboarding và đăng nhập thì mức độ an toàn số của người dùng cũng bị chuyển giao cùng với số điện thoại
- Nhiều dịch vụ như Apple, Google, Dropbox, PayPal, Block, Chase, Wells Fargo, Robinhood, Schwab, Bank of America đã hoặc đang dùng SMS cho đăng nhập, khôi phục, hoặc 2FA; các nhà cung cấp đám mây như Azure, AWS, Twilio, Google cũng cung cấp dịch vụ mã dùng một lần qua SMS
- Giải pháp tốt hơn là đặt lại qua email và các ứng dụng xác thực như Authy, Google Authenticator; ngay cả khi SMS 2FA được dùng hạn chế cùng với lựa chọn mạnh hơn thì nó cũng không nên trở thành phương án fallback cho khôi phục tài khoản
- Từ năm 2024 trở đi, khi các nhà mạng lớn của Mỹ như AT&T, T-Mobile, Verizon còn bị xâm nhập kéo dài bởi cuộc tấn công Salt Typhoon, giả định rằng SMS mang lại bảo mật thực chất trong luồng đăng nhập càng bị lung lay
Cấu trúc khiến xác thực dựa trên SMS làm trầm trọng thêm tấn công SIM swap
- Tấn công SIM swap là cách kẻ tấn công yêu cầu nhà mạng port số điện thoại của nạn nhân sang điện thoại của chúng
- Tại Mỹ, vì quy định về tính di động của số nhằm thúc đẩy cạnh tranh, nhà mạng phải xử lý việc chuyển số tương đối dễ dàng
- Khi số đã bị chuyển, kẻ tấn công có thể nhận thông tin đăng nhập qua SMS hoặc mã đặt lại mật khẩu do doanh nghiệp gửi và truy cập tài khoản
- Việc chỉ trích cơ chế bảo vệ số của nhà mạng là quá yếu là hợp lý, nhưng nhiều công ty cũng đã xây dựng luồng xác thực mang tính mission-critical trên chính mắt xích mong manh đó
- Trọng tâm vấn đề là: “Chỉ vì ai đó thuyết phục được T-Mobile, AT&T hoặc Verizon port số của tôi, điều đó không có nghĩa là toàn bộ an toàn số của tôi cũng phải bị port theo”
SMS không được thiết kế làm phương thức xác thực
- SMS là tin nhắn văn bản thuần không mã hóa, có thể bị đọc hoặc chặn giữa đường như một tấm bưu thiếp
- Dùng SMS, vốn không phải giao thức bảo mật, cho đặt lại mật khẩu, khôi phục tài khoản, onboarding và đăng nhập là không phù hợp ngay từ cấu trúc
- 2FA dựa trên SMS chỉ được xem là trường hợp “ít tệ nhất” trong các kịch bản bảo mật yếu, khi nó được cung cấp cùng với các lựa chọn 2FA mạnh hơn
- Đối tượng bị chỉ trích chính là đặt lại mật khẩu bằng SMS, onboarding người dùng bằng SMS và khôi phục tài khoản bằng SMS
- Lựa chọn tốt hơn là đặt lại mật khẩu qua email và các ứng dụng xác thực như Authy, Google Authenticator
- Nếu SMS vẫn tồn tại như một phương án fallback cho khôi phục tài khoản, ngay cả triển khai 2FA mạnh hơn cũng có thể bị suy yếu
Cách các công ty đưa SMS vào luồng xác thực
- Apple đã công bố tính năng tự động điền mã SMS trên iPhone vào năm 2018, qua đó củng cố luồng dùng SMS cho đặt lại mật khẩu và đăng nhập tài khoản
- Có những kịch bản mà SMS có thể được dùng để đặt lại tài khoản Apple
- Xác thực hai bước cho tài khoản nhà phát triển Apple cũng dùng SMS hoặc cuộc gọi
- Triển khai 2FA gốc của Apple bị đánh giá là suy yếu vì có fallback SMS
- Google đã cung cấp tính năng SMS autofill cho Android vào năm 2019 để tự động điền mã dùng một lần
- Các nhà cung cấp đám mây và doanh nghiệp hạ tầng nhắn tin đã hình thành cả một ngành công nghiệp mã SMS
- Trong các dịch vụ tài chính và thanh toán, đặt lại qua SMS, đăng nhập bằng SMS, SMS 2FA và khôi phục tài khoản bằng SMS được dùng rất rộng rãi
- Các ví dụ được nêu gồm Wells Fargo, Cash App, Robinhood, Schwab, PayPal, Bank of America
- Những tùy chọn SMS này được cung cấp như cách để “xác minh đúng là bạn”, nhưng đồng thời cũng tạo điều kiện cho kẻ tấn công SIM swap
- Trong các dịch vụ đặt đồ ăn, mạng xã hội, dịch vụ lưu trữ dữ liệu và nhiều lĩnh vực khác, SMS cũng thường là phương thức mặc định để đặt lại tài khoản
- Ngay cả khi có cách tắt như Dropbox, người dùng vẫn phải tự opt-out theo từng dịch vụ
- Nhiều dịch vụ thậm chí không cung cấp tùy chọn opt-out
Trách nhiệm thiết kế bảo mật quan trọng hơn sự tiện lợi
- Người dùng có thể không hiểu được mức độ mong manh của việc đặt lại qua SMS, và đánh giá điều đó không nên là trách nhiệm của họ
- SMS có thể tiện hơn email reset hoặc ứng dụng 2FA như Authy nên người dùng dễ ưu tiên
- Tự động điền SMS trên iPhone đôi khi được khen là một tính năng hay của iOS, nhưng sự tiện lợi không đồng nghĩa với bảo đảm an toàn
- Trách nhiệm đánh giá và thiết kế một hệ thống bảo mật an toàn thuộc về các công ty công nghệ
- Nếu doanh nghiệp nói rằng họ ưu tiên an toàn và bảo mật cho khách hàng nhưng vẫn duy trì xác thực dựa trên SMS, thì họ đang để khách hàng trong trạng thái bị phơi bày rủi ro
Chỉ cải thiện giao thức và quy định là chưa đủ
- Các nỗ lực tăng cường giao thức điện thoại như SHAKEN/STIR vẫn chưa đạt đến mức được áp dụng hoàn toàn và thực thi nghiêm ngặt, nên khó thể là cái cớ để tiếp tục gửi mã đặt lại mật khẩu qua SMS
- Ngay cả khi giao thức điện thoại mạnh hơn được triển khai, điều đó cũng không tự nó ngăn được tấn công SIM swap
- Sáng kiến Sim Verify của EU được nhắc đến như một cách để doanh nghiệp đang phụ thuộc vào SMS kiểm tra xem SIM có vừa bị port gần đây hay không
- Chưa rõ những thay đổi như vậy có được triển khai ở Mỹ trong tương lai gần hay không; kinh nghiệm từ việc triển khai SHAKEN/STIR cho thấy thay đổi có thể mất rất lâu
- Cũng có bình luận trên Hacker News cho biết NIST, tính đến tháng 10/2023, đã đưa ra hướng dẫn mạnh mẽ phản đối việc dùng SMS hoặc cuộc gọi điện thoại để nhận diện người dùng
Rủi ro từ nhà mạng còn tệ hơn sau năm 2024
- Bản cập nhật cho biết các nhà mạng lớn của Mỹ như AT&T, T-Mobile, Verizon đã bị xâm nhập trong nhiều tháng bởi cuộc tấn công Salt Typhoon
- Các nhà mạng này chuyển tiếp những tin nhắn SMS không mã hóa được dùng trong vô số luồng đăng nhập, kích hoạt lại tài khoản và đặt lại mật khẩu
- Khi nhìn cùng lúc vào các vụ xâm nhập nhà mạng tại Mỹ và tính dai dẳng của tấn công SIM swap, cần từ bỏ ý nghĩ rằng SMS mang lại bảo mật thực chất ở bất kỳ phần nào của luồng đăng nhập
- Google được nhắc đến như một trường hợp đã bắt đầu, ở mức hạn chế trong Gmail, thừa nhận điểm yếu của SMS và rời xa nó
- Chase, Block/Square, Apple và nhiều bên khác vẫn là ví dụ còn phụ thuộc vào SMS trong một phần quy trình đăng nhập
Các trường hợp thiệt hại người dùng trong bình luận Hacker News
- Nếu đang du lịch ở khu vực không nhận được SMS, người dùng có thể bị khóa khỏi tài khoản
- Có ý kiến cho rằng một số ngân hàng như Bank of America yêu cầu phải bật SMS 2FA thì mới kích hoạt được bất kỳ hình thức 2FA nào, và đó là vấn đề lớn
- Cũng có các trường hợp bị khóa khỏi Viber sau khi đổi số, hoặc Citibank yêu cầu xác thực SMS để thay đổi số điện thoại của tài khoản
- Khi nhà mạng tính phí roaming cho SMS, người dùng phải trả tiền cho một cơ chế bảo mật yếu
- Nếu không nạp tiền để duy trì số trả trước và SIM bị khóa, người dùng sẽ không nhận được SMS và cũng gặp vấn đề khi truy cập các dịch vụ ép buộc SMS
- Một người bình luận từng làm việc trong ngành ngân hàng EU cho biết SMS đắt hơn ở Mỹ nên không trở nên phổ biến rộng như vậy, và SMS 2FA dễ dẫn đến cả vi phạm bảo mật lẫn khóa người dùng
Vì sao cần rời bỏ xác minh danh tính dựa trên số điện thoại
- Trong kỷ nguyên deepfake, các dịch vụ xác minh danh tính vững chắc càng trở nên quan trọng hơn
- Các dịch vụ tạo giấy tờ tùy thân giả bằng AI đang trở nên phổ biến, còn xác thực bằng giọng nói mà các công ty tài chính và ISP từng dùng có thể không còn hữu ích trước audio deepfake và kẻ tấn công dai dẳng
- Cần rời bỏ các phương thức xác minh danh tính không mã hóa và dễ bị SIM swap như SMS
- Ransomware cũng là một vấn đề lớn mà ngành CNTT đang đối mặt, và tấn công SIM swap được nhắc đến như một vector quan trọng để xâm nhập mạng doanh nghiệp
- Bài viết gợi ý rằng giảm đăng nhập bằng SMS có thể giúp giảm bớt một phần vấn đề ransomware
1 bình luận
Ý kiến trên Hacker News
Trước khi rác SMS tràn ngập, mã TOTP được 1Password tự động điền trên mọi thiết bị, ở mọi nơi
Giờ thì cứ phải lấy điện thoại ra liên tục, và dù không cần số đó, muốn đi du lịch vẫn phải trả tiền roaming quốc tế hoặc thiết lập chuyển tiếp SMS. Bảo mật đúng là tuyệt thật
Nếu lập luận là số điện thoại có thể khôi phục về danh tính ngoài đời bất cứ lúc nào, thì đừng bắt tôi rải số của mình cho mọi công ty trên thế giới, mà hãy cho kết nối ứng dụng xác thực với SMS là được
Vậy mà các công ty ngớ ngẩn cứ đòi số điện thoại rồi chặn dùng Google Voice
Có thể chọn theo chi phí: xuất trình giấy tờ tùy thân do chính phủ cấp, kiểm tra vân tay, thậm chí xét nghiệm DNA nhanh tại chỗ; và có thể chỉ định người thụ hưởng tài khoản khi qua đời hoặc mất năng lực
Cách hiện nay dựa vào email, tài khoản Google, SMS để xác minh danh tính cuối cùng thật vô lý. Cả ba đều hoặc không an toàn, hoặc có nguy cơ bị chặn tùy tiện, hoặc khó khôi phục, hoặc không xác minh danh tính thật nên dễ bị spam
Lập luận phản bác phổ biến là WhatsApp sẽ chặn đặt lại mật khẩu nếu số không được dùng trong 90 ngày, nên không sao
Rồi tiếp theo là có thể nộp đơn bằng văn bản cho ngân hàng để đổi số điện thoại, nên cũng không sao
Dùng SMS cho các thao tác quan trọng của tài khoản là kinh khủng
Làm ơn đừng buộc tài khoản vào số điện thoại
Sửa: Tôi đã đổi dòng đầu để làm rõ rằng tôi không nói về các thông báo một lần, v.v.
Tôi đồng ý rằng dùng Authenticator và Passkeys thì tốt hơn, nhưng cũng không nên phủ nhận cả ưu điểm của SMS
Tôi thường thấy các cặp đôi dùng điện thoại của nhau và biết mật khẩu của nhau, nhưng không biết có thể tin ai đến mức đó không. Chắc tôi cũng sẽ không đưa mật khẩu cho mẹ ruột, dù bà chưa từng cho tôi lý do gì để không tin
Tệ nhất là chuyện này không phải lựa chọn. Các dịch vụ cứ đột nhiên bắt đầu dùng SMS làm xác thực 2 bước
Nếu đổi số điện thoại thì phải làm sao? Khi không còn kiểm soát số cũ nên không vào được tài khoản, làm sao đổi sang số mới? Nếu một ngày nào đó tài khoản mà bạn thậm chí không nghĩ là cần cập nhật đột nhiên yêu cầu xác thực 2 bước thì sao? Nhìn chung đây là một hệ thống thật sự tệ
STOPthì ổnTrong chuyến cắm trại 2 tuần, một cơn bão lớn quét qua bang quê nhà tôi và điện bị cắt 5 ngày. Nếu không có thông báo SMS thì tôi đã không biết, và khi về đến nơi tôi có thể dọn ngay tủ lạnh và tủ đông
Dù điện thoại bị chiếm đoạt thì email vẫn còn
Từ góc nhìn người dùng cuối, nó cũng thực sự tiện. Dù vấn đề này xảy ra với 1% người dùng, hàng tỷ người khác có thể vẫn không gặp vấn đề. Rẻ và tiện. Điện thoại nhận tin nhắn rồi tự động điền
Không cần đổi ứng dụng để kiểm tra email. Miễn là email không bị chiếm đoạt, tài khoản luôn có thể khôi phục. Nếu mất email thì đáng tiếc, nhưng dù sao những chuyện như vậy vẫn xảy ra, nên mới phải đổi mật khẩu định kỳ và thiết lập xác thực đa yếu tố
Bảo mật không bao giờ có thể đạt 100%. Đó là chuyện viển vông. Nó cần đủ tiện và đủ an toàn để hoạt động với nhiều người nhất có thể
Gần như mọi người ngoài HN đều chẳng quan tâm và cũng không hiểu. Họ cũng không cần phải hiểu. Chỉ cần dùng ứng dụng để làm việc cần làm rồi thôi
Phần backend cứ để mấy dân geek xử lý
Ở Argentina từng xảy ra một vấn đề lớn liên quan đến Payoneer SMS với người dùng Movistar. Tôi đã định đăng lên HN nhưng bị chìm mất.
Bản dịch đại ý của một tweet sâu sắc bằng tiếng Tây Ban Nha [1] như sau:
“Bí ẩn Payoneer đã được giải đáp.
#PayoneerHacked
Hãy cẩn thận. Facebook, Twitter, v.v. cũng chia sẻ cùng các gateway để tiết kiệm chi phí SMS
Tôi để lại ảnh chụp màn hình SMS đến với nạn nhân lúc rạng sáng. Nạn nhân không thể chia sẻ những mã này qua bất kỳ vụ phishing nào, và các SMS này là thứ cần thiết để rút sạch tài khoản
Dù bạn đọc gì trên báo chí… có rất nhiều trái cây, rất nhiều salad, nhưng ít nước sốt. Bản gốc ở đây
Cảm ơn tất cả mọi người đã hợp tác”
[1] https://twitter.com/julitolopez/status/1748440685743587811
Có câu rằng “[khách hàng] thấy [đặt lại qua SMS] tiện hơn đặt lại qua email”, nhưng cá nhân tôi thấy khó chịu mỗi khi phải đăng nhập tài khoản Google bằng xác thực qua điện thoại
Tôi phải đứng dậy khỏi bàn để tìm điện thoại, đôi khi điện thoại ở phòng khác. Rồi mới nhận được cuộc gọi hoặc tin nhắn chứa mã
So với vậy, TOTP tiện hơn nhiều. Tôi lưu mã trong KeePassXC nên không cần rời khỏi bàn
Google gọi tùy chọn này là “Nhận mã xác minh từ ứng dụng Google Authenticator”, ngay cả khi bạn chưa từng dùng Authenticator
https://www.google.com/account/about/passkeys/
https://blog.google/technology/safety-security/passkeys-defa...
Các trang hỗ trợ passkeys: https://passkeys.directory/
Khi mất số điện thoại thì cũng thật sự rất tệ
Tôi đã không đăng nhập được vào tài khoản Google chính trong nhiều năm. Tôi có tên người dùng, mật khẩu, địa chỉ email khôi phục và mọi email cũng được chuyển tiếp cho tôi, nhưng vì không còn số điện thoại gắn với tài khoản nữa nên rõ ràng bị đối xử như kẻ xâm nhập
Cách duy nhất là quay về dải IP trông giống vị trí “nhà” ban đầu và cầu mong nó hoạt động. Tôi có rất nhiều điều muốn nói với người trong Google đã nghĩ rằng không cho truy cập hay khôi phục tài khoản là một việc hay
Thẻ căn cước ở nước tôi có chip dùng mật mã khóa công khai. Nếu cho phép liên kết vĩnh viễn tài khoản Google với danh tính quốc gia thì vấn đề sẽ được giải quyết, ít nhất là với cư dân EU
Khi đó có thể dùng một YubiKey mà không phải lo chỉ mất nó là xong, và nếu ai đó đánh cắp thì vẫn có thể lấy lại tài khoản
Nhưng Google không có helpdesk, cũng không có cách báo lỗi. Google nên biết xấu hổ
Điều tôi ghét nhất là khi các công ty cứ khăng khăng rằng số Google Voice của tôi “không thể dùng để xác thực”, hoặc nói thẳng hơn là “không phải số điện thoại/di động hợp lệ”
Một số công ty ban đầu cho phép đăng ký bằng số này, rồi đến một thời điểm nào đó sau khi đăng ký lại đổi chính sách. Thường thì chỉ đến khi bị khóa khỏi tài khoản mới biết
May là phần lớn chỉ là ứng dụng cửa hàng hoặc dịch vụ thanh toán mà từ nay có thể tránh dùng. Rõ ràng họ không coi trọng giao dịch của tôi. Nhưng tôi lo một ngày nào đó ngân hàng của tôi cũng làm y như vậy và khóa tôi khỏi tài khoản
Ai cũng có điện thoại di động, phần lớn gần như không đổi số, và nhiều người dễ dàng đưa số điện thoại hơn cả số an sinh xã hội
Họ không quan tâm đến bảo mật tài khoản hay việc đó có phải là số hợp lệ do người dùng kiểm soát hay không. Họ chỉ muốn một số để định danh duy nhất người dùng, một số vốn đã nằm trong cơ sở dữ liệu của các công ty công nghệ quảng cáo đang trả giá cao nhất cho dữ liệu người dùng
Tôi đã viết một chút trong một bình luận khác của bài này về lý do không nên dùng Google Voice: https://news.ycombinator.com/item?id=39270503
Trải nghiệm của tôi có thể không đúng với tất cả mọi người, nhưng tôi vẫn cho rằng dựa vào Google Voice “miễn phí” là rủi ro
Nói để phản biện thì đăng nhập và khôi phục tài khoản bằng SMS có trải nghiệm người dùng tốt, và các nhà mạng nói chung cần nâng chuẩn của mình lên
Tôi đang dùng máy tính để bàn, đừng bắt tôi phải lôi điện thoại ra mỗi lần đăng nhập chỉ vì không muốn hỗ trợ FIDO hay một hình thức xác thực 2 bước thật sự khác
Laptop của tôi có đầu đọc vân tay, điện thoại có Face ID, USB có YubiKey. Cứ dùng những thứ đó là được
Email chắc chắn tốt hơn. Lý do chính là nhà cung cấp email hoặc là nơi do người dùng kiểm soát, chẳng hạn tên miền tùy chỉnh của dân mê công nghệ như chúng ta, hoặc là một thực thể lớn và vô danh như Google. Nó không phải là mục tiêu dễ bị kẻ tấn công thay đổi như nhà cung cấp số điện thoại
Tôi làm ở một nhà cung cấp danh tính, và có khá nhiều người yêu cầu hỗ trợ tính năng này, đặc biệt từ góc độ trải nghiệm người dùng
Như đã nói ở trên, nhà cung cấp số điện thoại cũng phải chịu trách nhiệm. Nếu xu hướng đẩy số điện thoại thành định danh toàn cục cả ngoại tuyến lẫn trực tuyến cứ tiếp tục, các nhà mạng cần đặt ra nhiều yêu cầu hơn đối với việc đổi số điện thoại
“Trong nhiều năm, người trong ngành luôn nói kiểu này: ‘Cung cấp xác thực dựa trên SMS nhìn chung tốt hơn cho bảo mật của khách hàng. Nó có nhược điểm, nhưng tiện lợi hơn các cách khác, chẳng hạn xác minh email an toàn hơn nhiều.’ Với điều đó, tôi nói: ‘Anh là ai mà tước đi bảo mật của khách hàng?’”
Và:
“Có thể hiểu được khi phần lớn sự phẫn nộ liên quan đến các cuộc tấn công hoán đổi SIM nhắm vào nhà mạng. Thực tế là các nhà mạng bảo vệ số điện thoại khách hàng rất tệ, và họ có thể phải chịu trách nhiệm cho khiếm khuyết đó. Nhưng điểm cốt lõi là thế này: bảo mật của nhà mạng xưa nay vẫn tệ, thậm chí có phần bị làm tệ đi vì hệ thống pháp luật, vậy mà các công ty khác vẫn chọn xây dựng các hệ thống nhiệm vụ trọng yếu của mình trên mắt xích yếu đó.”
Và:
“SMS có bảo mật kém, nhưng cho phép xử lý gần như không ma sát việc đăng ký khách hàng mới, chẳng hạn onboarding của Uber, và đặt lại mật khẩu. Các công ty cảm thấy phải theo kịp việc đối thủ áp dụng kỹ thuật này.”
Phần cuối này đã không may bị ghi đè trong một bản cập nhật bài WordPress, và tôi đã thêm lại
Tôi đồng ý rằng SMS là một yếu tố xác thực đa yếu tố tệ hại
Nhưng việc yêu cầu mọi người cài ứng dụng là một gánh nặng rất lớn, nên nó mới lan rộng. Hơn nữa, mọi người cũng tuyệt đối không lưu mã khôi phục
Có thể dùng Authy và sao lưu mã, nhưng chuyện đó gần như thuộc phạm vi “dành cho dân kỹ thuật”
Cuối cùng, với người bình thường, giải pháp thực tế duy nhất là SMS. Cần buộc nhà mạng khiến việc hoán đổi SIM khó hơn
Ở đó, SMS may mắn là đủ đắt để các ngân hàng thấy không kinh tế khi dùng làm yếu tố mật khẩu dùng một lần, và bị đánh giá là quá không an toàn nếu dùng đơn lẻ cho xác thực thanh toán, nên cần một yếu tố thứ hai
Kết quả là các ngân hàng phải cung cấp các phương thức an toàn hơn hoặc tiện dụng hơn. Ví dụ như ứng dụng xác thực riêng của ngân hàng, thường hoạt động được cả khi không có Internet hay sóng di động như lúc đi du lịch quốc tế, thiết bị xác thực phần cứng, WebAuthN, v.v.
Không phải là “hãy làm cho hoán đổi SIM khó hơn”, mà là các công ty tài chính phải nâng chuẩn và cung cấp các phương thức không dễ bị cả xâm phạm bảo mật lẫn khóa người dùng
Khai thuế thì cần MyGovID. Cái này cũng chẳng hay
Hãy thử áp dụng cùng logic đó ở nơi khác
Công ty áp dụng đăng nhập bằng mật khẩu phải chịu trách nhiệm cho việc bị đánh cắp giấy ghi chú Post-it
Công ty áp dụng xác thực hai bước qua email phải chịu trách nhiệm cho việc tài khoản email bị đánh cắp
Tôi không biết logic này có đứng vững không. Tôi thấy chuyện kiểu này lặp đi lặp lại. Có một chủ thể không vi phạm pháp luật và có thể hợp tác với cơ quan thực thi pháp luật, nhưng một chủ thể tội phạm không tuân thủ pháp luật lại tấn công khách hàng của họ. Vì không thể búng tay để khiến chính phủ biến hành vi trộm cắp thành bất hợp pháp gấp đôi, gấp ba, nên mọi người thường bám lấy phía vô tội và cố làm cuộc sống của họ khó khăn hơn
Cần hít thở sâu và buông bỏ. Không có mức độ vô hại nào trong việc trừng phạt người vô tội thay vì kẻ có tội
Nghe có vẻ kỳ quặc và điên rồ, nhưng người đổi SIM phải chịu trách nhiệm cho tấn công SIM swap. Gì cơ? Đổ lỗi cho tội phạm à? Lập trường táo bạo đấy, nhưng là đúng
Theo tôi biết, không nhà mạng tiêu dùng nào ở Mỹ triển khai biện pháp bảo vệ phù hợp để ngăn những việc như SIM swap trái phép
Nếu một công ty triển khai xác thực hai bước qua SMS, họ phải biết sự thật này; và nếu họ biết mà vẫn bán cho người tiêu dùng một hệ thống xác thực hai bước có khiếm khuyết nghiêm trọng như thể “an toàn hơn”, thì họ phải chịu trách nhiệm khi nó thất bại
Xác thực hai bước qua SMS càng chết sớm, các website cũ kỹ chỉ triển khai xác thực hai bước qua SMS sẽ càng buộc phải triển khai những phương thức thực sự an toàn
Có thể họ lẽ ra phải làm tốt hơn, nhưng nỗ lực “trừng phạt” họ có cảm giác giống luật hồi tố. Nên tạo quy định mới và xử phạt các vụ việc trong tương lai, chứ vụ này thì có vẻ không phải thứ nên bị xử phạt
Tấn công SIM swap thì không thể kiểm soát
Từ góc nhìn của nhà cung cấp dịch vụ trực tuyến, việc dùng SMS là hoàn toàn hợp lý
Hai mục tiêu sau rất giống nhau nhưng tách biệt
SMS rất hiệu quả cho mục tiêu số 2. Vì rất ít người có thể truy cập 100 số điện thoại khác nhau
Việc có số điện thoại di động thường bao gồm một quy trình cá nhân yêu cầu những thứ như địa chỉ, hộ chiếu, số an sinh xã hội. Có các thủ tục phải vượt qua
Lý do các công ty dựa vào SMS là vì họ có thể thuê ngoài quy trình xác minh khách hàng cho nhà mạng. Họ dùng SMS không phải vì đó là giải pháp tối ưu hay an toàn nhất để chứng minh quyền sở hữu tài khoản
Những người cứ phàn nàn rõ ràng chưa từng phải đưa ra các quyết định xác thực kiểu này ở một công ty liên quan đến quy định hoặc dịch vụ tài chính
Có thể yêu cầu số điện thoại khi tạo tài khoản, nhưng không cho phép chiếm đoạt tài khoản chỉ bằng SMS gửi tới số đó
Theo cùng logic đó, cũng có thể biện minh cho việc công ty theo dõi người dùng và bán dữ liệu cá nhân. Vì họ kiếm tiền, và kiếm tiền là một phần quan trọng của vận hành doanh nghiệp
Chỉ cần trả một khoản rất nhỏ như 50 cent cho mỗi lần xác thực là có thể dùng hàng chục, hàng trăm số điện thoại. Không thể chặn được bất kỳ ai có chút quyết tâm