Bảo mật tài khoản trực tuyến ngày càng quan trọng hơn khi các cuộc tấn công mạng ngày càng tinh vi. Một trong những phương pháp xác thực phổ biến nhất hiện nay là xác thực hai yếu tố (2FA) bằng SMS – khi đăng nhập, người dùng sẽ nhận được một mã số qua tin nhắn để xác minh danh tính. Nhưng liệu phương pháp này có thực sự an toàn?

Theo Google, câu trả lời là không. Gã khổng lồ công nghệ vừa thông báo rằng Gmail sẽ sớm loại bỏ xác thực bằng SMS và thay thế bằng mã QR. Đây không chỉ là một thay đổi nhỏ mà có thể sẽ trở thành tiêu chuẩn bảo mật mới.

Xác thực bằng SMS có thực sự an toàn?

Xác thực qua SMS là một phương thức đơn giản để đảm bảo người dùng hợp lệ khi đăng nhập vào tài khoản. Khi ai đó cố gắng truy cập dịch vụ, hệ thống sẽ gửi một mã ngắn qua tin nhắn văn bản đến số điện thoại đã liên kết. Người dùng sau đó nhập mã này để xác minh danh tính của mình.

Tuy nhiên, cách thức này ngày càng bị đánh giá thấp về mặt bảo mật. Google mới đây đã thông báo rằng Gmail sẽ thay thế xác thực SMS bằng mã QR, một động thái đáng hoan nghênh mà nhiều công ty khác cũng nên áp dụng.

Vì sao xác thực SMS không còn an toàn?

Tin nhắn SMS dễ bị chặn và theo dõi

Mã xác minh qua SMS thường chỉ là một chuỗi số ngắn, thường gồm 6 chữ số. Điều này khiến nó dễ bị tấn công theo nhiều cách khác nhau:

1. Tấn công bằng mã độc (malware):

   • Tin nhắn SMS không được mã hóa, nghĩa là nếu thiết bị của bạn bị nhiễm mã độc, hacker có thể theo dõi và thu thập nội dung tin nhắn mà không gặp khó khăn nào.
   • Mỗi tháng lại có một vụ lây nhiễm malware mới trên Android, cho thấy mức độ rủi ro mà người dùng phải đối mặt.

2. Nguy cơ chặn tin nhắn (interception):

   • Hacker không cần xâm nhập vào điện thoại của bạn để đánh cắp mã xác thực. Tin nhắn SMS có thể bị chặn trong quá trình truyền tải giữa hệ thống và thiết bị của bạn.
   • Những lỗ hổng trong hệ thống viễn thông toàn cầu (SS7) có thể bị khai thác để chặn hoặc giả mạo tin nhắn SMS.

3. Lỗ hổng trong trung tâm tin nhắn (SMSC):

   • SMSC là nơi xử lý tin nhắn trước khi gửi đến người nhận. Nếu hacker có quyền truy cập vào SMSC (vốn được liên kết với số điện thoại của bạn), họ có thể đọc hoặc thay đổi nội dung tin nhắn.
   • Điều này cho phép kẻ tấn công thay đổi mã xác thực bằng một liên kết giả mạo, khiến người dùng dễ bị lừa đảo.

Tấn công SIM swap – đánh cắp số điện thoại

Một trong những hình thức tấn công phổ biến nhất hiện nay là SIM swap (hoán đổi SIM). Kẻ tấn công sẽ lừa nhà mạng cấp lại số điện thoại của bạn vào một SIM khác mà họ kiểm soát. Khi đó, họ có thể nhận tất cả các tin nhắn, bao gồm mã xác thực của bạn, mà không cần truy cập vào thiết bị của bạn.

Tại sao mã QR là giải pháp thay thế tối ưu?

Mã QR bảo mật hơn SMS

Xác thực qua mã QR hoạt động đơn giản: khi bạn đăng nhập vào dịch vụ, hệ thống sẽ hiển thị một mã QR trên màn hình. Bạn chỉ cần dùng điện thoại để quét mã này và hoàn tất đăng nhập mà không cần nhập bất kỳ mã số nào.

Ưu điểm của phương pháp này:

• Không có mã số để hacker đánh cắp: Không còn chuỗi số đơn giản mà hacker có thể chặn hoặc giả mạo.
• Không thể bị chặn bởi malware: Vì quá trình xác thực diễn ra trực tiếp giữa máy chủ và ứng dụng quét mã, hacker không thể truy cập được nội dung.
• Không phụ thuộc vào mạng di động: Xác thực bằng mã QR không cần kết nối SMS, tránh được các lỗ hổng của nhà mạng.

Nguy cơ giả mạo mã QR

Dù mã QR an toàn hơn SMS, nó không hoàn toàn miễn nhiễm với tấn công. Một trong những nguy cơ lớn nhất là lừa đảo bằng mã QR giả. Kẻ tấn công có thể gửi email chứa mã QR trông giống như mã chính chủ từ Google hoặc ngân hàng, nhưng thực chất lại dẫn đến một trang web giả mạo để đánh cắp thông tin đăng nhập.

Một báo cáo từ Abnormal Security cho thấy các cuộc tấn công bằng mã QR trong email đang gia tăng với tỷ lệ thành công cao. Lý do là vì người dùng ít đề phòng mã QR hơn so với đường link thông thường.

Gmail dẫn đầu xu hướng, nhưng các dịch vụ khác có theo kịp?

Google không phải là công ty đầu tiên triển khai xác thực bằng mã QR. Discord đã sử dụng phương pháp này từ lâu để cho phép người dùng đăng nhập dễ dàng bằng ứng dụng di động. Tuy nhiên, sự thay đổi của Gmail có ý nghĩa lớn hơn vì Gmail có hàng tỷ người dùng toàn cầu.

Với quyết định của Google, nhiều khả năng các dịch vụ khác như Facebook, ngân hàng số, và các ứng dụng tài chính sẽ bắt đầu áp dụng phương thức xác thực này.