Theo trang Yahoo, hiện nay mã xác thực một lần (OTP) gửi qua tin nhắn SMS vẫn đang được sử dụng rộng rãi như một lớp bảo vệ thứ hai trong quy trình xác thực hai yếu tố, giúp người dùng đăng nhập vào các ứng dụng ngân hàng, email hay mạng xã hội.
Tuy nhiên, Yahoo cảnh báo SMS là một trong những phương thức bảo mật yếu nhất vì rất dễ bị tấn công giả mạo (phishing).
Một cuộc điều tra do Bloomberg Businessweek và Lighthouse Reports thực hiện gần đây đã hé lộ nguy cơ lớn hơn: các mã OTP này có thể bị truy cập bởi bên thứ ba. Cụ thể, công ty viễn thông ít tên tuổi Fink Telecom Services (Thụy Sĩ) đã có quyền truy cập vào hơn 1 triệu tin nhắn chứa mã xác thực hai lớp trong tháng 6-2023.
Là đơn vị trung gian kết nối giữa các công ty phát sinh mã xác thực và người dùng cuối, Fink Telecom Services có quyền xử lý, xem nội dung tin nhắn. Điều đáng lo ngại là công ty này từng bị nghi ngờ tham gia vào hoạt động giám sát người dùng và can thiệp vào tài khoản cá nhân.
Các mã OTP bị rò rỉ đến từ nhiều công ty lớn như Google, Meta, Amazon, Tinder, Snapchat, Binance, Signal, WhatsApp và nhiều ngân hàng tại châu Âu. Tin nhắn được gửi tới người dùng ở hơn 100 quốc gia.
Theo Yahoo, nguyên nhân xác thực hai yếu tố qua SMS không an toàn chủ yếu là do các công ty thường thuê bên trung gian để gửi SMS với chi phí thấp hơn, thông qua các hợp đồng lớn với nhiều nhà mạng và hệ thống “global titles” - các địa chỉ mạng dùng để kết nối liên quốc gia. Điểm yếu của hệ thống này là các công ty thuê không trực tiếp làm việc với các đơn vị như Fink Telecom Services, mà thông qua các tầng lớp nhà thầu phụ khiến việc bảo đảm an toàn dữ liệu càng trở nên phức tạp.
Ông Phạm Mạnh Cường, người sáng lập Công ty TNHH Wischain, lý giải phương thức xác thực hai yếu tố qua tin nhắn SMS ngày nay không còn an toàn là bởi kẻ tấn công mạng ngày càng tinh vi, dễ dàng lợi dụng những lỗ hổng trong hệ thống bảo mật để chiếm đoạt quyền truy cập.
Một trong những hình thức phổ biến tạo các cuộc tấn công giả mạo, trong đó tin nhắn, email hoặc website nhìn có vẻ uy tín được sử dụng để lừa người dùng cung cấp thông tin nhạy cảm như tên đăng nhập, mật khẩu hay mã OTP.
Không chỉ vậy, kỹ thuật hoán đổi SIM cũng là mối đe dọa nghiêm trọng. Kẻ gian có thể đánh cắp số điện thoại của nạn nhân, từ đó nhận được mã xác thực gửi qua SMS.
Thêm vào đó, nhiều người dùng hiện vẫn có thói quen cài đặt phần mềm không rõ nguồn gốc, đặc biệt trên các thiết bị Android, dẫn đến phần mềm gián điệp hoặc keylogger có khả năng bí mật ghi lại thao tác gõ bàn phím, từ đó đánh cắp thông tin truy cập.
Dù xác thực qua SMS vẫn được coi là một lớp bảo vệ nhất định, nhưng so với các phương thức hiện đại như Google Authenticator - ứng dụng tạo mã xác thực ngẫu nhiên thay đổi sau mỗi 30 giây và không phụ thuộc vào mạng di động - thì SMS ngày càng bộc lộ điểm yếu.
