1 điểm bởi GN⁺ 2024-04-16 | 1 bình luận | Chia sẻ qua WhatsApp
  • Nhân viên T-Mobile trên khắp nước Mỹ đã nhận được tin nhắn gạ gẫm thực hiện SIM swapping trái phép bằng cách chuyển đường dây của khách hàng sang SIM do kẻ tấn công nắm giữ
  • Tin nhắn chào mời đề nghị 300 USD cho mỗi vụ và yêu cầu liên hệ qua Telegram, đồng thời dùng số gửi đến từ nhiều mã vùng khác nhau để gây khó khăn cho việc chặn
  • Trong tin nhắn có câu cho biết số của nhân viên được lấy từ “T-Mo employee directory”, và đối tượng bị nhắm tới không chỉ là nhân viên hiện tại mà còn có cả người đã nghỉ việc vài tháng trước
  • T-Mobile cho biết không có vụ xâm phạm hệ thống nào xảy ra, nhưng đang điều tra các tin nhắn dụ dỗ hành vi phạm pháp; những trường hợp tương tự cũng đã được ghi nhận ở các nhà mạng không dây khác
  • Khách hàng cần giảm phụ thuộc vào xác thực hai bước dựa trên SMS, đồng thời bật ứng dụng xác thực và SIM protection để giảm rủi ro bị chiếm đoạt tài khoản

Lời gạ gẫm SIM swapping gửi thẳng đến nhân viên

  • SIM swapping là hình thức kẻ tấn công chuyển số điện thoại của nạn nhân sang SIM do chúng sở hữu, từ đó chặn mã xác thực hai bước được gửi cho nạn nhân và truy cập các tài khoản trực tuyến
  • Nạn nhân có thể mất tiền trong tài khoản ngân hàng hoặc ví tiền mã hóa
  • Theo nhiều bài đăng trên Reddit và các nguồn tin riêng, nhân viên T-Mobile trên toàn nước Mỹ đã nhận được tin nhắn đề nghị trả tiền để thực hiện SIM swapping
  • Các tin nhắn này đề nghị 300 USD cho mỗi vụ SIM swapping và yêu cầu liên hệ qua Telegram
  • Số người gửi thay đổi giữa nhiều số với các mã vùng khác nhau, khiến việc chỉ chặn số đơn lẻ trở nên khó hiệu quả

Nguồn liên hệ của nhân viên và việc có hay không bị xâm phạm

  • Trong tin nhắn có câu cho biết số điện thoại của nhân viên được lấy từ “T-Mo employee directory”
    • Nếu điều này là thật, có khả năng ai đó đã bằng cách nào đó truy cập được vào danh bạ nhân viên T-Mobile có chứa thông tin liên hệ
    • Cả những cựu nhân viên đã nghỉ việc vài tháng trước cũng bị nhắm tới, nên khả năng kẻ tấn công đang có quyền truy cập dữ liệu theo thời gian thực hiện được đánh giá là thấp
  • Nguồn gốc số điện thoại của nhân viên hiện vẫn chưa được xác định
    • Dựa trên các bình luận trực tuyến, có vẻ một số nhân viên bên thứ ba cũng bị ảnh hưởng
    • Việc nhân viên corporate của T-Mobile hiện tại cũng nhận được tin nhắn đã được xác nhận riêng
    • Khó thể khẳng định đây là cùng một nguồn với dữ liệu rò rỉ liên quan đến Connectivity Source vào tháng 9/2023
    • Tuy vậy, cũng không thể loại trừ khả năng đó
  • Bộ phận PR của T-Mobile trả lời rằng “không có vụ xâm phạm hệ thống nào”
    • Công ty vẫn đang tiếp tục điều tra các tin nhắn được gửi đi nhằm dụ dỗ hành vi phạm pháp
    • Các nhà mạng không dây khác cũng đã báo cáo các tin nhắn tương tự

Những rủi ro khách hàng có thể giảm bớt

  • Việc tội phạm vẫn coi SIM swapping là một phương thức tấn công sinh lời tiếp tục là yếu tố gây lo ngại cho khách hàng
  • Nếu một số nhân viên chấp nhận lời đề nghị kiếm tiền nhanh, tài khoản và tiền của khách hàng có thể đối mặt với rủi ro trực tiếp
  • Những biện pháp khách hàng có thể thực hiện:
    • Không sử dụng SMS làm phương thức xác thực hai bước cho các dịch vụ trực tuyến
    • Sử dụng ứng dụng xác thực như Google Authenticator hoặc Authy
    • Nếu dịch vụ ngân hàng hoặc ví tiền mã hóa chỉ cung cấp xác thực hai bước bằng SMS, hãy cân nhắc chuyển sang dịch vụ khác
    • Kích hoạt SIM protection trên tài khoản T-Mobile

1 bình luận

 
GN⁺ 2024-04-16
Các ý kiến trên Hacker News
  • T-Mobile có thể tự gửi SMS giả vờ nâng tiền thưởng cho nhân viên lên 600 đô la, rồi sa thải những nhân viên trả lời không nhỉ?
    Hoặc có vẻ họ cũng có thể đổi điều khoản giảm giá đường dây cho nhân viên để cho phép giám sát nội dung SMS hoặc siêu dữ liệu nhằm phát hiện các mối đe dọa bảo mật đối với người dùng của công ty.

    • T-Mobile có thể làm nhiều thứ, nhưng trước hết phải xác định vì sao họ nên bận tâm đã.
      Tôi không biết việc giả vờ đề nghị trả tiền để đổi SIM có hợp pháp không, nhưng đó là vấn đề phụ; trước đây tôi không thấy nhiều bằng chứng rằng T-Mobile quan tâm đến những chuyện như thế này.
    • Có nhiều việc có thể làm: 1) yêu cầu 2 nhân viên cùng với tổng đài viên điện thoại để đổi SIM, 2) gọi đến số sẽ được chuyển đổi để xác nhận với người nghe rằng họ có biết việc chuyển số hay không, 3) đặt thời gian chờ 24 giờ trước khi thay đổi và cố gắng liên hệ với người dùng của số đó, 4) trả khoản thưởng lớn, từ 10.000 đô la trở lên, nếu cung cấp bằng chứng đồng nghiệp nhận hối lộ.
    • Chỉ cần gửi thông báo rằng trả lời những đề nghị như thế này có thể bị sa thải cũng giải quyết được phần nào.
    • Cũng có cách là trả lương đủ cao để ngay từ đầu họ không bị cám dỗ.
  • Bản thân tấn công đổi SIM có “người trong” tham gia không phải là chuyện mới. Điện thoại T-Mobile của một người bạn thân của tôi cũng bị tấn công theo cách này vào tháng 3/2020.
    Điểm chính của tin này là sự kết hợp giữa rò rỉ dữ liệu và đổi SIM. Tội phạm đang dùng số điện thoại nhân viên có trong dữ liệu T-Mobile bị rò rỉ gần đây để nhắn tin tiếp cận hàng loạt nhân viên cùng lúc, đề nghị 300 đô la cho mỗi vụ.
    Trước đây chúng phải tạo người trong thông qua quan hệ cá nhân, hoặc tự nộp đơn vào làm, nhưng khi đã có dữ liệu bị rò rỉ thì có thể tự động hóa và mở rộng quy mô.

    • Cách đánh vào điểm yếu ở đây là rải đề nghị honeypot giả. Điểm yếu của kế hoạch này là thiếu niềm tin và tính ẩn danh tác động đến cả hai phía.
      Nói cách khác, “cách cũ” không chỉ là nuôi người trong, mà còn bao gồm quá trình khiến người trong có thể tin người thuê.
    • Theo tôi biết, trong mảng tiền mã hóa chuyện này đã diễn ra liên tục từ đầu năm 2018.
    • Tôi không hiểu vì sao người ta lại đánh cược công việc chỉ vì 300 đô la.
    • Trường hợp của tôi xảy ra vào cuối những năm 2000, có lẽ khoảng năm 2008.
  • Vậy giải pháp ở đây là gì? Có thực tế không nếu cấm nhân viên cửa hàng ngoại tuyến chuyển số điện thoại của khách hàng sang SIM mới? Nếu khách hàng nói họ bị mất điện thoại hoặc bị trộm thì phải làm sao?
    Lý tưởng thì phải có xác minh rằng khách hàng thực sự có mặt tại chỗ và giấy tờ tùy thân đã được kiểm tra, nhưng ở Mỹ không có một loại giấy tờ tùy thân phổ quát được dùng chung, nên tôi không biết có thể làm thế nào. Tôi cũng cho rằng người ta vẫn nên có thể nhận số điện thoại mà không cần giấy tờ tùy thân, nhưng trong trường hợp đó thì việc xác minh bị chặn lại.
    Vấn đề là điện thoại di động trên thực tế đã trở thành gốc tin cậy của đời sống số của chúng ta. Việc passkey được tích hợp vào hệ điều hành là điều tốt vì nó đẩy vấn đề này ra khỏi nhà mạng, nhưng vấn đề căn bản vẫn còn. Thiết lập niềm tin ban đầu là việc khó.

    • Giải pháp là không giao quyền truy cập đời sống số cho nhà mạng.
      Trong câu “khách hàng thực sự có mặt tại chỗ và giấy tờ tùy thân đã được kiểm tra”, “tại chỗ” là ở đâu? MVNO của tôi không có chi nhánh. Ngay cả nếu có chi nhánh thì tại sao tôi phải đến đó? Tôi còn tránh đến chi nhánh ngân hàng nếu có thể.
    • Ở Mỹ, các chính sách yêu cầu giấy tờ tùy thân có ảnh do chính phủ cấp để xác minh danh tính cho nhiều mục đích khác nhau hoàn toàn không hiếm. Theo tôi biết, mọi bang đều có giấy tờ tùy thân có thể cấp phổ biến. Thường không miễn phí, nhưng ai cũng có thể xin cấp.
    • Giải pháp đơn giản là không dùng SMS để khôi phục mật khẩu.
      SMS có thể ổn cho xác thực hai bước, nhưng nó phải luôn là yếu tố thứ hai. “Quên mật khẩu” → mã SMS → mật khẩu mới về thực chất là xác thực một yếu tố. Dùng SMS làm yếu tố duy nhất là rất tệ.
    • Yêu cầu PIN cho tài khoản trước khi đổi SIM hoặc thực hiện thao tác khác có vẻ khá hữu ích như một rào cản gia nhập.
      Khi đó, để một nhân viên tha hóa thực hiện đổi SIM, họ cần thêm thông tin mà bản thân không có.
    • Chỉ một độ trễ thời gian đơn giản cũng có thể giải quyết 99% trường hợp.
      Chỉ cho phép đổi nếu SIM đã bị ngắt khỏi mạng di động trong 48 giờ; nếu chưa bị ngắt, thì gọi hoặc nhắn tin tới SIM cũ để xác nhận họ có thật sự muốn đổi hay không.
  • Tôi làm trong ngành tiền mã hóa và luôn thấy các vụ đổi SIM. Chúng chủ yếu được dùng để chiếm tài khoản Twitter của người nổi tiếng, sau đó đăng liên kết phishing để đánh cắp coin của người theo dõi. Trong lĩnh vực này, T-Mobile được nhắc đến nhiều áp đảo, và hầu hết nạn nhân đều nói họ dùng T-Mobile, nên chuyện này đã kéo dài từ lâu.
    Một vấn đề lớn khác về bảo mật Twitter là ngay cả khi dùng xác thực hai bước không phải SMS, tài khoản vẫn có thể bị chiếm. Nếu tài khoản có số điện thoại, nó sẽ được dùng làm phương thức khôi phục và hoàn toàn vượt qua xác thực hai bước. Lỗ hổng bảo mật này đã tồn tại nhiều năm nhưng vẫn chưa được sửa.

    • Gần như mọi dịch vụ hỗ trợ xác thực hai bước hiện nay đều có lỗ hổng khôi phục này.
      Rất ít trang cho phép không cung cấp số điện thoại, hoặc ít nhất không dùng nó làm phương thức khôi phục.
      Chỉ cần khóa theo thời gian đơn giản cũng đã giúp ích rất nhiều. Ví dụ, chỉ cho phép khôi phục xác thực “hai” bước dựa trên mật khẩu dùng một lần qua SMS sau 24 giờ, đồng thời gửi hàng loạt cảnh báo kiểu “có ai đó có thể không phải bạn đang cố khôi phục tài khoản”, và cung cấp cách để chủ tài khoản hợp pháp dừng việc này.
    • Nhiều trang có lỗi biến xác thực hai bước qua SMS trên thực tế thành xác thực một yếu tố. Thứ cần có chỉ là số điện thoại.
      Nếu điều này được cho phép ngay cả khi dùng xác thực hai bước không phải SMS thì còn tệ hơn, và làm vô hiệu 100% mục đích của việc dùng phương thức xác thực hai bước thay thế.
  • Khó tin là mật khẩu dùng một lần qua SMS lại được dùng thường xuyên đến vậy. Đây là sự thật đã được biết công khai, nhưng nó chỉ biến một đường tấn công cũ thành một đường tấn công tệ hơn
    Bẻ mật khẩu hoặc xâm nhập vào cơ sở dữ liệu đã mã hóa khó hơn thành công trong việc SIM swap ít nhất 10 lần

    • Bẻ một mật khẩu tốt thì khó, nhưng rất nhiều người không dùng mật khẩu tốt hoặc cứ nhập vào bất kỳ web form lừa đảo nào mà không nghĩ nhiều
      Mã xác thực hai bước có giới hạn thời gian có thể bị phá bằng SIM swap hoặc phishing có chủ đích, nhưng ít phổ biến hơn các chiến dịch phishing hàng loạt dựa trên spam
      Nói vậy không có nghĩa là tôi thích xác thực hai bước qua SMS; tôi thực sự ghét nó
    • Ngân hàng của tôi gần đây đã thêm tính năng loại bỏ SMS khỏi các tùy chọn xác thực hai bước và yêu cầu TOTP
      Giờ chỉ mong họ thêm WebAuthn nữa. Dù vậy, TOTP dùng cùng trình quản lý mật khẩu tích hợp trong trình duyệt khá an toàn trước phishing, vì nếu không thấy tự động điền xuất hiện thì có thể nghi ngờ
    • Nó dễ dùng, miễn phí cho khách hàng, và nhờ các tính năng như “code autofill” trên iPhone nên trải nghiệm người dùng cũng đơn giản nhất
      SIM swap chỉ xảy ra với một số rất ít người, nên với các bên liên quan thì công sức bỏ ra không đáng. Tôi cũng ghét điều đó, nhưng thực tế là vậy
    • Nhưng một khi thành công thì nhiều tài khoản sẽ bị xâm nhập cùng lúc
      Ngày nay, mọi thứ chỉ dựa trên tên người dùng và mật khẩu đều nên được thay bằng passkey. Vấn đề mà passkey không giải quyết được là xác thực hai bước và khôi phục tài khoản
    • Nói nghiêm túc thì đó không phải là “thay thế”. Trước mật khẩu dùng một lần qua SMS thì chỉ có mật khẩu mà thôi
      Mật khẩu + mật khẩu dùng một lần qua SMS tự thân vẫn tốt hơn, dù phương thức SMS có tệ đến đâu
  • Có vẻ FCC đang thực thi các quy định mới nhằm ngăn SIM swap, và các quy định này có hiệu lực từ ngày 8 tháng 7 năm 2024. Tuy nhiên, chỉ nhìn vào thông cáo báo chí thì chưa rõ liệu chúng có bảo vệ được khách hàng trong trường hợp nhân viên nhà mạng là tác nhân xấu hay không
    https://www.fcc.gov/consumer-governmental-affairs/fcc-announ...
    https://docs.fcc.gov/public/attachments/DOC-398483A1.pdf

  • Không đùa đâu, tôi nghĩ sẽ có thị trường cho một nhà mạng yêu cầu mẫu DNA khi thay đổi
    DNA có thể được lấy đồng thời từ nhiều nguồn như máu, nước bọt, móng tay chọn ngẫu nhiên, và có thể băm để nhà cung cấp không lưu chính chuỗi DNA. Bản thân DNA không phải thứ giống UUID nên sẽ cần một mức độ đổi mới nhất định, nhưng tôi nghĩ là khả thi. Các VIP sẽ trả tiền cho dịch vụ này, và cũng có thể cung cấp bảo hiểm giới hạn cho thiệt hại do bị hack
    Nói thêm, trong một tập của “Forensic Files” có một nghi phạm đã tiêm mẫu máu của người khác vào cơ thể mình để né xét nghiệm DNA trong cáo buộc tấn công tình dục. Vì vậy tôi thừa nhận phương án DNA cũng có thể bị tấn công. Do đó cần nhiều mẫu ngẫu nhiên

    • Quét mống mắt kiểu Worldcoin của Sam Altman cũng có thể là một lựa chọn
  • Chúng ta thực sự cần một tiêu chuẩn tốt hơn cho xác thực đa yếu tố. Có lẽ nên có định nghĩa pháp lý về xác thực đa yếu tố, và SMS nên được phân loại là xác thực hai bước ngang hàng với những thứ như email
    Tôi nghĩ xác thực đa yếu tố thực sự nên được giới hạn ở Yubikey hoặc các thiết bị dựa trên chứng chỉ phần cứng khác. Ngoài ra, nếu mỗi phương thức chỉ hỗ trợ một token thì không được quảng cáo là xác thực đa yếu tố

  • Đây không chỉ đơn giản là vấn đề của SIM hay riêng T-Mobile
    Phần lớn nhân viên tổng đài chăm sóc khách hàng có thu nhập rất thấp, và đặc biệt ở các nước khác, không khó để tìm người sẵn sàng thực hiện một hành động cụ thể chỉ với số tiền nhỏ theo chuẩn phương Tây. Nhân viên chăm sóc khách hàng thường có quyền hạn lớn và quyền truy cập thông tin nhạy cảm, trong khi kiểm soát truy cập lại lỏng lẻo
    Ngay cả khi giải quyết được vấn đề SMS và xác thực đa yếu tố, kẻ tấn công sẽ nhắm vào điểm yếu tiếp theo

    • Đây là một lý do nữa cho đề xuất của tôi rằng nên có luật quy định mọi dịch vụ khách hàng phục vụ khách hàng Mỹ phải đặt tại Mỹ, Anh, Ireland, Canada, Úc, New Zealand
    • Dù vậy, lý tưởng là điểm yếu tiếp theo phải an toàn hơn rất nhiều so với nhân viên lương thấp và dễ tổn thương về kinh tế
      Theo tôi biết, xác thực hai bước qua SMS là phương thức dễ bị phá nhất trong tất cả. Ít nhất với email thì trước hết cần có mật khẩu, và trong một số trường hợp còn phải vượt qua xác thực hai bước riêng
  • Nêu thử một ý tưởng có vẻ đơn giản: cung cấp một tùy chọn để đường dây của tài khoản chỉ có thể được chuyển sang SIM mới khi SIM hiện tại đang offline theo mạng trạm gốc
    Cũng có thể khiến bộ phận chăm sóc khách hàng không thể vượt qua giới hạn này
    Nếu ai đó đánh cắp điện thoại, họ sẽ cố bật chế độ máy bay càng nhanh càng tốt để tránh khóa kích hoạt. Nếu làm rơi xuống biển hoặc rơi xuống dưới vách đá, khả năng cao là nó sẽ không hoạt động lâu. Nếu bạn lo trường hợp làm mất mà máy vẫn bật và không thể tìm thấy, thì chỉ cần không bật tùy chọn này

    • Chỉ cần gửi một tin nhắn tới SIM hỏi “Bạn có muốn chuyển không?”
      Nếu không phản hồi thì sau 48 giờ sẽ chuyển, nếu trả lời “có” thì chuyển ngay. Nếu trả lời “không” thì người yêu cầu chuyển phải trả lời một số câu hỏi
    • Cũng có thể gửi yêu cầu xác nhận tới đường dây hiện tại và đặt một thời gian ân hạn. Nếu cho người dùng tự chọn trước thời gian ân hạn, có thể ngăn việc ai đó biết người dùng đang trên máy bay rồi chiếm đoạt đường dây
      Ví dụ, nếu bạn mất điện thoại và nó có thể đang ở đâu đó bên đường nên bạn không thể phản hồi, thì khi yêu cầu xác nhận không được trả lời, đường dây sẽ được chuyển sau khoảng 8 giờ
    • Tính năng bảo vệ SIM tùy chọn vốn đã tồn tại. Khi khóa SIM, đường dây không thể được chuyển cho đến khi mở khóa