Hack hộp thư thoại như nào?

Rupert Murdoch says 'sorry' in Newspaper Adverts. Photo courtesy Surian Soosay.

Một trong những vụ án gây chấn động nhất lịch sử hiện đại Anh sắp tới hồi kết. Tuần trước, cựu cố vấn cao cấp của Thủ tướng David Cameron - Andy Coulson đã bị kết luận có tội trong âm mưu ‘hack’ điện thoại cá nhân trong thời gian làm biên tập tờ báo lá cải (tabloid) News of the World. Coulson sẽ bị kết án cùng với thám tử tư Glenn Mulcaire, người thực hiện phần lớn các vụ hack (đột nhập trái phép các tin nhắn trong hộp thư thoại cá nhân) cho báo này để săn tin (obtain scoop) về các ngôi sao và các nhân vật nổi tiếng khác. Cáo buộc tại tòa cho thấy số nạn nhân có thể lên tới khoảng 5.500. Các hacker đã đột nhập như nào?

Vấn đề ở chỗ đánh đổi an ninh lấy sự thuận tiện. Không lâu trước đây, một máy trả lời tự động cũng an toàn như chính căn phòng nơi nó được đặt. Cơ bản đây là một máy ghi âm gắn (bolted) vào điện thoại để khi bạn gọi ai đó không có nhà, cuộn băng sẽ ghi lại tin nhắn của bạn để người nhận có thể bật lên nghe lại sau đó. Cách duy nhất để ‘hack’ được tin nhắn là phải lấy trộm cuộn băng. Nhưng điện thoại di động đã thay đổi tất cả. Giờ đây người dùng muốn nghe được tin nhắn từ bất kì đâu và nhiều khi từ cả các điện thoại khác nhau. Điều này tạo ra khe hở (way in) cho các hacker điện thoại.

Người ta cho rằng một khi các hacker tìm được số di động của nạn nhân (từ các giấy tờ nhà nước hoặc tư nhân), chúng sẽ bằng nhiều cách giả dạng người chủ điện thoại để đột nhập tài khoản hộp thư thoại của họ. Các hệ thống thư thoại có các phương pháp xác nhận danh tính người dùng khác nhau. Một số phương pháp kiểm tra số nhận diện (identification - ID) người gọi của điện thoại đang thực hiện yêu cầu (nếu hệ thống của bạn không yêu cầu nhập mã số hoặc mã PIN (personal identification number - số nhận diện cá nhân) thì có lẽ nó hoạt động theo cách này). Vì thế các hacker làm giả (falsify) số này bằng phần mềm dễ dàng được tải xuống từ trên mạng. Một số hệ thống khác yêu cầu mã PIN nhất là khi chủ tài khoản đang xem tin nhắn từ nước ngoài. Trên lý thuyết, khó có thể lấy được các mã này nhưng thực tế lại thường dễ đoán tới bất ngờ. Ví dụ, rất nhiều người không thay đổi mã mặc định khi kí hợp đồng di động mới, thường là 1234 hay 4 số cuối của số điện thoại. Kể cả khi người dùng có đổi mã số thì họ cũng thường lấy ngày sinh hay một dãy số dễ đoán khác. Nếu các cách trên không được? Các hacker thấy rằng gọi đến tổng đài, giả vờ là người dùng quên mã PIN thường thành công (often do the trick). (Cách này được biết đến với thuật ngữ chuyên môn ‘social engineering’ - đột nhập phi kĩ thuật). Các cuộc gọi như vậy đã được thu và bật lại ở tòa. Một cuộc trong số đó, Mulcaire đã thuyết phục được nhân viên tổng đài thiết lập lại mã PIN của vài tài khoản thư thoại bằng cách đưa ra một mã số nội bộ (internal password) mà anh ta lừa (blag) được từ nơi khác.

Từ đó có thể thấy hack điện thoại là một việc khá đơn giản đòi hỏi sự liều lĩnh (audacity) hơn là trình độ kỹ thuật (khác với việc hack máy tính phải sử dụng các phương thức kỹ thuật thông minh để xong việc nhanh chóng và không nhất thiết với mục đích xấu). May mắn là cách chống hack cũng đơn giản: sử dụng hệ thống có mã PIN bảo vệ và đặt một mã thật khó đoán. Nhưng biện pháp an toàn nhất còn đơn giản hơn nhiều: không dùng hộp thư thoại nữa và thay vào đó, nói mọi người gửi tin nhắn văn bản cho bạn.

Đăng Duy
The Economist

Tags: economics

2 Comments

Tin liên quan

    Tài chính

    Trung Quốc