Tấn công hoán đổi SIM: Cách tin tặc chiếm đoạt số điện thoại của bạn
Số điện thoại của bạn thực chất là chìa khóa quan trọng nhất cho tiền bạc của bạn. Ngân hàng, email, sàn giao dịch tiền điện tử đều tin tưởng vào nó để xác minh danh tính của bạn, thường là bằng cách gửi mã xác nhận qua tin nhắn. Một cuộc tấn công hoán đổi SIM sẽ lấy đi chìa khóa đó và trao nó cho người lạ, thường chỉ trong thời gian bạn nhận thấy tín hiệu mạng trên màn hình giảm xuống "Không có dịch vụ". Đến khi bạn kết nối lại được, kẻ tấn công có thể đã đặt lại mật khẩu và rút sạch tiền trong tài khoản của bạn. Đối với những người nắm giữ tiền điện tử, thiệt hại còn tồi tệ hơn — một khi tiền đã rời khỏi ví, không ai có thể lấy lại được.
Hướng dẫn này giải thích tấn công hoán đổi SIM là gì, cách thức hoạt động từng bước, tại sao nó trở thành công cụ ưa thích để đánh cắp tiền điện tử và một vài thay đổi có thể ngăn chặn nó.
Tấn công hoán đổi SIM là gì và tại sao nó lại hiệu quả
Tấn công hoán đổi SIM là một hình thức gian lận chiếm đoạt tài khoản nhắm vào điểm yếu trong xác thực hai yếu tố: tin nhắn văn bản . SIM của bạn, viết tắt của mô-đun nhận dạng thuê bao, là con chip nhỏ liên kết số điện thoại di động của bạn với điện thoại. Trong một vụ hoán đổi SIM, kẻ tấn công không bao giờ chạm vào thiết bị của bạn. Thay vào đó, chúng thuyết phục nhà mạng chuyển số điện thoại của bạn sang một thẻ SIM mới mà chúng đang giữ. Ngay khi quá trình hoán đổi hoàn tất, mọi cuộc gọi và tin nhắn dành cho bạn, bao gồm cả mã bảo mật, sẽ được gửi đến điện thoại của chúng.
Đây là phần mà mọi người thường hiểu sai. Nó không phải là hack điện thoại và cũng không phải là lỗi thuật toán mã hóa. Nó là một vụ tấn công vào dịch vụ khách hàng. Điểm yếu bị khai thác là con người tại nhà mạng, và giả định sai lầm rằng việc kiểm soát số điện thoại chứng minh danh tính. Bỏ qua thuật ngữ chuyên ngành, thì việc đổi SIM chỉ đơn giản là ai đó thuyết phục công ty cung cấp số điện thoại của bạn, sau đó sử dụng nó để xâm nhập vào mọi thứ mà số điện thoại đó bảo vệ. Các nhà nghiên cứu bảo mật xếp các vụ lừa đảo đổi SIM vào loại đánh cắp danh tính vì lý do chính đáng. Kẻ tấn công không chỉ muốn tiền của bạn; trong một thời gian, chúng sở hữu toàn bộ danh tính kỹ thuật số của bạn, tất cả đều được điều hướng thông qua một tài khoản điện thoại di động thông thường mà bạn cho rằng chỉ thuộc về mình.
Cách thức hoạt động của tấn công hoán đổi SIM, từng bước một.
Hầu hết các vụ án đều tuân theo ba bước giống nhau, và không vụ nào đòi hỏi kỹ năng hack cao cấp. Chúng chỉ cần sự kiên nhẫn và một câu chuyện thuyết phục.
Bước 1: Thu thập thông tin cá nhân của bạn
Đầu tiên, kẻ tấn công xây dựng hồ sơ về bạn. Chúng lấy thông tin cá nhân từ các vụ rò rỉ dữ liệu cũ được bán trên dark web, từ các email lừa đảo khiến bạn nhập thông tin cá nhân, và từ chính mạng xã hội của bạn. Ngày sinh nhật ở đây, tên thú cưng ở đó, bốn chữ số cuối của một tấm thiệp từ cơ sở dữ liệu bị rò rỉ, và chúng có đủ thông tin cá nhân để giả giọng bạn qua điện thoại. Bạn càng đăng tải nhiều thông tin công khai, bước này càng rẻ. Hầu hết dữ liệu cá nhân này không phải là dữ liệu mới bị đánh cắp. Chúng đã bị rò rỉ nhiều năm trước trong một vụ vi phạm dữ liệu nào đó đã bị lãng quên, và kẻ tấn công chỉ đơn giản là ghép các mảnh vụn lại với nhau thành một bức tranh hoàn chỉnh đầy thuyết phục.
Bước 2: Giả mạo danh tính của bạn để giao tiếp với nhà mạng
Tiếp theo, chúng giả mạo bạn để liên lạc với nhà cung cấp dịch vụ di động. Đôi khi đó là một cuộc gọi điện thoại với câu chuyện đã được chuẩn bị trước về việc điện thoại bị mất hoặc hỏng. Đôi khi đó là việc bạn đến trực tiếp cửa hàng bán lẻ với giấy tờ tùy thân giả. Trong trường hợp xấu nhất, kẻ tấn công chỉ đơn giản là hối lộ hoặc tuyển dụng một nhân viên của nhà mạng, biến toàn bộ hệ thống phòng thủ thành một kẻ nội bộ bất lương duy nhất. Đây là kỹ thuật xã hội, không phải lập trình, và nó hiệu quả vì nhân viên hỗ trợ được đào tạo để giúp đỡ và giải quyết nhanh chóng các yêu cầu.
Bước 3: Việc hoán đổi và thâu tóm
Ngay khi nhà mạng kích hoạt SIM mới — thời điểm quyết định của toàn bộ cuộc tấn công — điện thoại thật của bạn sẽ mất kết nối. Lúc này, kẻ tấn công kiểm soát số điện thoại. Chúng truy cập vào email hoặc tài khoản Exchange của bạn, nhấp vào "quên mật khẩu" và để mã đặt lại mật khẩu được gửi đến dưới dạng tin nhắn văn bản mà chúng có thể đọc được. Chúng chặn tin nhắn SMS đó, đặt lại mật khẩu và giành quyền truy cập. Sau khi chiếm được email của bạn, chúng sẽ tiếp tục xâm nhập vào mọi tài khoản khác được liên kết với nó. Việc chiếm đoạt toàn bộ tài khoản có thể diễn ra chỉ trong vài phút — rất lâu trước khi hầu hết mọi người nhận ra lý do tại sao điện thoại của họ bị mất kết nối.
Vì sao việc đổi SIM là một công cụ đánh cắp tiền điện tử?
Nhiều cuộc tấn công có thể rút sạch tiền trong tài khoản ngân hàng, nhưng ngân hàng có thể hoàn trả các giao dịch gian lận. Tiền điện tử thì khác, và chính sự khác biệt đó là lý do tại sao việc đánh cắp SIM lại gây ra hậu quả tàn khốc trong lĩnh vực tài chính này.
Xác thực hai yếu tố qua SMS là điểm yếu duy nhất.
Hầu hết các sàn giao dịch vẫn cho phép người dùng bảo vệ tài khoản bằng mã được gửi qua tin nhắn. Điều đó có vẻ an toàn cho đến khi bạn nhận ra toàn bộ hệ thống phòng thủ dựa trên một giả định: chỉ bạn mới nhận được tin nhắn. Việc đổi SIM phá vỡ hoàn toàn giả định đó. Một mã bị chặn sẽ đặt lại thông tin đăng nhập, và xác thực hai yếu tố qua SMS, thứ được coi là lớp bảo vệ an toàn của bạn, lại trở thành cánh cửa mở. Kẻ tấn công không cần mật khẩu của bạn nếu chúng có thể đặt lại mật khẩu thông qua số điện thoại của bạn. Tệ hơn nữa, thủ đoạn tương tự còn vô hiệu hóa chính mật khẩu, bởi vì nhiều sàn giao dịch cho phép bạn khôi phục mật khẩu đã quên bằng tin nhắn. Mã SMS hoàn toàn không phải là lớp khóa thứ hai; nó là lớp khóa duy nhất, và việc đổi SIM mới là chìa khóa. Ngay cả các tổ chức cũng bị mắc bẫy: vào năm 2024, tài khoản X của chính SEC đã bị chiếm đoạt thông qua việc đổi SIM và được sử dụng để đăng tải thông tin phê duyệt giả mạo quỹ ETF Bitcoin, điều này đã gây chấn động thị trường trong một thời gian ngắn.
Không thể đảo ngược theo thiết kế
Ngân hàng có thể đóng băng chuyển khoản và đảo ngược giao dịch. Blockchain thì không thể. Một khi kẻ tấn công chuyển tiền của bạn vào ví mà chúng kiểm soát, giao dịch sẽ là cuối cùng, không thể hoàn trả và không có đường dây hỗ trợ nào để liên hệ. Tính không thể đảo ngược đó là một đặc điểm của tiền điện tử — nhưng nó biến việc đánh cắp SIM từ một mối lo ngại nhỏ thành một tổn thất vĩnh viễn, đó là lý do tại sao kẻ tấn công đặc biệt nhắm vào những người nắm giữ tiền điện tử đã biết. Con số đô la cho thấy mức độ rủi ro lớn đến mức nào.
| Trường hợp | Năm | Số lượng | Chuyện đã xảy ra như thế nào |
|---|---|---|---|
| Michael Terpin kiện AT&T | 2018 | 24 triệu đô la | Số điện thoại đã được chuyển đổi, tài khoản tiền điện tử đã bị rút hết tiền. |
| Vụ cướp ngày phá sản của FTX | 2022 | khoảng 400 triệu đô la | Đổi SIM trong thời điểm sàn giao dịch sụp đổ |
| Vụ trộm bitcoin ở Washington DC | 2024 | 4.100 BTC, tương đương khoảng 263 triệu đô la Mỹ. | Tấn công phi kỹ thuật cộng với đánh cắp SIM, 9 vụ kết án. |
| nạn nhân trọng tài của T-Mobile | 2020 | Đã trao thưởng 33 triệu đô la. | Lỗi bảo mật của nhà mạng, việc hoán đổi liên tục. |
| chiếm đoạt tài khoản SEC X | 2024 | bài đăng giả mạo có khả năng tác động đến thị trường | Đổi SIM tài khoản của cơ quan |
Tấn công hoán đổi SIM thực sự phổ biến đến mức nào?
Câu trả lời thẳng thắn lại là một nghịch lý. Xét về số lượng tuyệt đối, các cuộc tấn công này rất hiếm, nhưng xét trên mỗi nạn nhân thì chúng lại gây ra hậu quả thảm khốc, và các con số chính thức đã đánh giá thấp nghiêm trọng thiệt hại về tiền điện tử.
Trước tiên, hãy xem xét tổng số liệu được báo cáo. Trung tâm Khiếu nại Tội phạm Internet của FBI đã ghi nhận 982 khiếu nại về việc đánh cắp SIM trong năm 2024, với thiệt hại khoảng 26 triệu đô la, giảm so với mức đỉnh điểm gần 72,6 triệu đô la vào năm 2022. Microsoft lưu ý rằng chưa đến 0,3% các vụ tấn công danh tính sử dụng phương pháp đánh cắp SIM, con số này nhỏ hơn nhiều so với các vụ lừa đảo trực tuyến thông thường. Chỉ dựa trên những con số đó, bạn có thể sẽ thấy không đáng lo ngại.
| Năm | Thông tin về các vụ mất SIM do đổi SIM trái phép (FBI IC3) |
|---|---|
| 2022 | 72,6 triệu đô la |
| 2023 | 48,8 triệu đô la |
| 2024 | 26,0 triệu đô la (982 khiếu nại) |
Hãy nhìn kỹ hơn. Cùng năm mà thiệt hại chính thức do lừa đảo SIM swap ước tính khoảng 26 triệu đô la, một vụ án duy nhất ở Washington DC đã lấy đi khoảng 263 triệu đô la Bitcoin, và vụ trộm FTX đã gây thiệt hại khoảng 400 triệu đô la. Cả hai vụ này đều không được xếp vào loại SIM swap, vì các nhà điều tra xếp chúng vào các loại gian lận hoặc trộm cắp rộng hơn. Điều cần rút ra không phải là cuộc tấn công này vô hại. Mà là nó không phổ biến, có tính chất chính xác cao và nhắm vào những người có tiền thật, đặc biệt là tiền điện tử, nơi một thành công có thể bù đắp cho hàng nghìn thất bại. Tính trung bình, mỗi vụ lừa đảo SIM swap được báo cáo trong năm 2024 đã khiến nạn nhân thiệt hại khoảng 26.000 đô la, và đó chỉ là những trường hợp đủ nhỏ để được xếp vào loại SIM swap ngay từ đầu. Các vụ trộm tiền điện tử lớn, những vụ có giá trị hàng chục hoặc hàng trăm triệu đô la, nằm trong các sổ sách hoàn toàn khác.
Dấu hiệu cảnh báo của một cuộc tấn công hoán đổi SIM
Thông thường bạn sẽ nhận được một cảnh báo rằng quá trình đổi SIM đang diễn ra, và thời gian bắt đầu tính từ lúc SIM được đặt xuống. Phút là quan trọng, chứ không phải giờ.
Dấu hiệu lớn nhất thì cực kỳ đơn giản: điện thoại của bạn mất sóng mà không rõ lý do. Pin đầy, không có sự cố mạng, mọi người xung quanh đều có sóng, còn điện thoại của bạn thì đột nhiên mất. Ở trung tâm thành phố, đó không phải là lỗi nhỏ. Hãy coi đó như một lời cảnh báo. Những dấu hiệu khác sẽ xuất hiện trên bất kỳ thiết bị nào vẫn hoạt động. Bạn bị khóa tài khoản đã dùng ngày hôm qua. Một tin nhắn đặt lại mật khẩu được gửi đến mà bạn không hề yêu cầu. Nhà mạng gửi email "xác nhận" SIM mới mà bạn không yêu cầu. Nếu phát hiện bất kỳ dấu hiệu nào trong số này trên các thiết bị di động khác của bạn, hãy cho rằng ai đó đang cố gắng chiếm quyền kiểm soát số điện thoại của bạn ngay lúc này. Bất cứ điều gì bạn làm tiếp theo, hãy làm thật nhanh, vì kẻ tấn công đã hành động rồi.
Cách phòng tránh việc đánh cắp SIM và tự bảo vệ mình
Bạn không thể ngăn chặn một tên tội phạm quyết tâm thực hiện các thủ đoạn lừa đảo qua điện thoại nhắm vào tổng đài, nhưng bạn có thể khiến số điện thoại của mình trở nên vô giá trị đối với chúng. Một thay đổi này có ý nghĩa hơn hẳn những thay đổi còn lại.
Nhận ưu đãi giảm giá qua tin nhắn SMS
Một bước quan trọng hơn tất cả những bước còn lại. Hãy ngừng sử dụng tin nhắn văn bản làm yếu tố xác thực thứ hai cho bất cứ thứ gì có giá trị. Chuyển mọi tài khoản ngân hàng, email và giao dịch chứng khoán sang ứng dụng xác thực , hoặc tốt hơn nữa, sử dụng khóa bảo mật phần cứng mà kẻ tấn công phải đánh cắp trực tiếp. Đây không còn là nỗi lo lắng thái quá nữa. Cuối năm 2024, FBI và CISA đã khuyến cáo công chúng nên loại bỏ hoàn toàn mã SMS, và các quy định nhận dạng liên bang mới nhất từ NIST không còn coi SMS là đủ an toàn cho các tài khoản nhạy cảm. Nếu một dịch vụ chỉ cung cấp tin nhắn văn bản, hãy gửi tiền của bạn vào nơi hỗ trợ ứng dụng hoặc khóa bảo mật. Lý do nó hiệu quả rất đơn giản. Mã xác thực chỉ tồn tại trên thiết bị của bạn. Khóa phần cứng không thể sao chép hoặc lấy được qua điện thoại. Cả hai đều không thể bị mất khi số điện thoại của bạn bị đánh cắp, vì vậy việc thay thế chỉ khiến bạn lấy được một số điện thoại không có chức năng mở khóa.
Khóa thiết bị và dấu chân của bạn.
Tiếp theo, hãy tăng cường bảo mật cho chính số điện thoại đó. Thêm mã PIN SIM hoặc khóa chuyển số với nhà mạng để không thể xảy ra việc trao đổi số điện thoại nếu không có sự cho phép của bạn. Nhiều nhà cung cấp hiện nay cung cấp dịch vụ này miễn phí, chẳng hạn như SIM Protection của Verizon, giúp chặn các thay đổi cho đến khi bạn tắt nó đi. Sử dụng mật khẩu mạnh, độc đáo và trình quản lý mật khẩu để một lần rò rỉ dữ liệu không thể mở khóa tất cả mọi thứ. Và hãy ngừng quảng cáo số tiền điện tử bạn đang nắm giữ, vì việc khoe khoang công khai chính là cách mà kẻ tấn công chọn mục tiêu. Ví điện tử kín đáo ít bị đánh cắp hơn nhiều so với ví điện tử công khai.
Nên làm gì nếu bạn bị lừa đảo đổi SIM?
Tốc độ quyết định mức độ nghiêm trọng của vụ lừa đảo đổi SIM, vì vậy hãy thực hiện theo trình tự. Đầu tiên, gọi cho nhà mạng của bạn từ một điện thoại khác để báo cáo việc bị chiếm đoạt SIM và lấy lại số điện thoại của bạn. Tiếp theo, từ một thiết bị vẫn được tin cậy, hãy đặt lại mật khẩu cho email và tài khoản giao dịch của bạn và gỡ bỏ xác thực hai yếu tố qua SMS khỏi tất cả chúng. Nếu bạn đang nắm giữ tiền điện tử, hãy tạm dừng rút tiền trên sàn giao dịch của bạn và chuyển tiền nếu vẫn có thể. Sau đó, ghi lại mọi thứ và báo cáo cho Trung tâm Khiếu nại Tội phạm Internet của FBI và FTC. Không có hành động nào trong số này có thể đảo ngược một vụ trộm đã hoàn tất, nhưng nó có thể ngăn chặn một cuộc tấn công vẫn đang diễn ra và ngăn chặn việc chiếm đoạt tài khoản trước khi nó lan rộng.
Cuộc tấn công hoán đổi SIM nhắm vào mắt xích yếu nhất.
Tấn công hoán đổi SIM không thể đánh bại hệ thống bảo mật của bạn; nó chỉ đơn giản là vượt qua hàng rào bảo mật, thông qua một công ty điện thoại vốn không được thiết kế để bảo vệ tiền tiết kiệm của bạn. Số điện thoại của bạn vốn không được dùng làm giấy tờ tùy thân, thế nhưng chúng ta lại gắn nó vào mọi thứ quan trọng. Đối với bất kỳ thứ gì liên quan đến tiền bạc, giả định an toàn rất đơn giản: hãy coi xác thực hai yếu tố qua SMS là đã bị lỗi và chuyển sang sử dụng ứng dụng hoặc khóa phần cứng ngay hôm nay thay vì đợi đến khi bạn mất kết nối vào một buổi chiều ngẫu nhiên nào đó. Cách khắc phục rất đơn giản, triệt để và chỉ mất khoảng mười phút. Vì vậy, câu hỏi duy nhất quan trọng là: nếu điện thoại của bạn bị mất kết nối ngay bây giờ, một người lạ có thể truy cập được bao nhiêu thông tin trước khi bạn lấy lại được nó?
