Xác thực SMS không còn an toàn

Người dùng nên sử dụng nhiều dạng xác thực khác nhau để bảo mật thông tin. Ảnh: Verified.

Theo báo cáo của WSJ vào tháng 10, nhóm tin tặc có liên kết với chính phủ Trung Quốc đã xâm nhập vào cơ sở hạ tầng viễn thông tại Mỹ và chặn thông tin liên lạc không được mã hóa. Chiến dịch có tên Salt Typhoon dường như cho phép hacker nghe lén cuộc gọi điện thoại và thu thập tin nhắn từ người dung.

Hiện tại, các đơn vị viễn thông tại Mỹ vẫn chưa đưa ra biện pháp khắc phục triệt để.

Vào giữa tháng 12, Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) đã ban hành hướng dẫn về các biện pháp tốt nhất nhằm bảo vệ “những cá nhân có nguy cơ bị nhắm mục tiêu cao”.

“Chúng tôi khuyến khích người dùng không sử dụng SMS làm yếu tố xác thực duy nhất. Tin nhắn SMS không được mã hóa có thể là lỗ hổng để tin tặc khai thác khi chúng tấn công vào cơ sở hạ tầng viễn thông. Ngoài ra, loại bảo mật này không phải dạng xác thực mạnh đối với tài khoản cá nhân”, trích dẫn từ hướng dẫn của CISA.

Hiện tại, phần lớn dịch vụ và ứng dụng đều cho phép xác thực đa yếu tố. Theo Gizmodo, người dùng nên sử dụng các phương pháp chống xâm nhập, bao gồm mã hóa đầu cuối tin nhắn hoặc ứng dụng xác minh như Google Authenticator.

Ngay cả Cục Điều tra Liên bang Mỹ (FBI) cũng lên tiếng ủng hộ việc sử dụng mã hóa tin nhắn SMS, cho thấy mức độ nghiêm trọng của cuộc tấn công vào cơ sở hạ tầng viễn thông. Trước đó, cơ quan này thường xuyên phản đối mã hóa các hình thức xác thực vì cho rằng chúng gây khó khăn cho hoạt động điều tra tội phạm.

“Hãy sử dụng một ứng dụng nhắn tin được mã hóa đầu cuối để liên lạc an toàn. Chúng tôi khuyến nghị tải xuống các app tương thích với cả hệ điều hành iOS và Android. Bên cạnh đó, chúng cũng cần cho phép khả năng tương tác đa nền tảng giữa điện thoại cũng như máy tính cá nhân”, CISA viết trong hướng dẫn bảo mật.