LG Uplus bị tấn công: Khi 'pháo đài' bảo mật xác thực 2 lớp 2FA không còn bất khả xâm phạm
Trước nay, xác thực hai lớp (2FA) luôn được xem là 'pháo đài bất khả xâm phạm' trong bảo mật tài khoản. Tuy nhiên, các chiêu thức tấn công mạng ngày càng tinh vi đang khiến 2FA không còn tuyệt đối an toàn, buộc người dùng phải xem lại cách bảo vệ dữ liệu cá nhân của mình.
Ngành viễn thông Hàn Quốc và nhiều nước khác đang rung chuyển bởi các vụ vi phạm dữ liệu lớn. Nổi cộm trong số đó là vụ LG Uplus bị xâm nhập mạng và rò rỉ dữ liệu của khoảng 42.000 khách hàng cùng 167 nhân viên. Đây là một trong những sự cố cho thấy rõ mã OTP gửi qua SMS (SMS OTP) không còn là tấm khiên bảo vệ hiệu quả như trước.
Vấn đề không chỉ nằm ở việc hãng bị tấn công, mà còn ở chỗ các phương thức xác thực phổ biến vẫn đang sử dụng mã SMS, trong khi tin tặc lại tập trung khai thác chính điểm yếu này. Vì thế, người dùng và tổ chức cần nghiêm túc xem lại việc chuyển từ SMS OTP sang ứng dụng xác thực (Authenticator App) như Google Authenticator, Authy hoặc Microsoft Authenticator.
Tại sao SMS OTP dễ bị khai thác?
SMS OTP vốn được xem là bước bảo vệ thứ hai, sau mật khẩu, để tránh đăng nhập trái phép. Nhưng thời đại đã thay đổi. Trong nhiều nghiên cứu và báo cáo gần đây, mã SMS đã bị chứng minh là dễ bị chiếm đoạt thông qua tấn công như SIM swap (kẻ tấn công lừa nhà mạng chuyển số điện thoại sang SIM của họ) hoặc khai thác giao thức mạng cũ như SS7. Ví dụ: theo báo cáo của National Fraud Database tại Anh, tội phạm SIM-swap đã tăng gấp khoảng 10 lần trong vòng một năm.
Nghiên cứu của nhóm Incognia cho thấy: “Khoảng 80% các nỗ lực SIM swap có thể thành công”. Một tài liệu khác cho biết trong giai đoạn gần đây, các tổn thất liên quan đến lừa đảo SIM đã tăng hơn 10 lần trong năm 2024.
Khi một số điện thoại bị chiếm quyền, thì mã SMS gửi đến số đó, bao gồm cả OTP đăng nhập, đều sẽ đến tay kẻ tấn công. Khi đó, lớp bảo vệ thứ hai mà SMS mang lại gần như không còn tác dụng. Một bài phân tích khoa học cũng chỉ ra rằng việc dựa vào SMS OTP “mang nhiều rủi ro bảo mật đáng kể” do kênh SMS không được mã hóa và thiết kế mạng di động không hướng đến bảo mật.
Hơn nữa, SMS OTP còn chịu rủi ro từ phishing (SMS lừa đảo, smishing) và khai thác dữ liệu cá nhân từ các vụ rò rỉ lớn. Khi số điện thoại của người dùng bị lộ, việc chuyển số SIM hay yêu cầu thay SIM giả mạo trở nên dễ dàng hơn rất nhiều.
Có thể nói, SMS OTP hiện còn là lớp bảo vệ mỏng, không đủ sức chống lại phương thức tấn công phổ biến và ngày càng thông minh hơn.
Ứng dụng xác thực (Authenticator Apps) là lựa chọn tốt hơn?
Khác với mã SMS, ứng dụng xác thực như Google Authenticator, Authy, Microsoft Authenticator tạo mã ngay trên thiết bị người dùng, không qua mạng di động, không bị ảnh hưởng khi số điện thoại bị chiếm hoặc SIM bị port-out. Một bài viết trên BiznetTechnology khẳng định: “Việc bật 2FA qua ứng dụng xác thực có thể giảm tới 99,22% nguy cơ truy cập trái phép so với chỉ dùng SMS”.
Nhiều người chọn bảo mật bằng Microsoft Authenticator
Hơn nữa, Microsoft thống kê: “Hơn 99,9% các tài khoản bị xâm phạm đều không bật MFA (đa-yếu tố xác thực)”. Điều này cho thấy: nếu người dùng chỉ dựa vào SMS OTP mà không bật xác thực mạnh hơn, họ vẫn là mục tiêu rất “mở”.
Ứng dụng xác thực sử dụng chuẩn TOTP (Time-based One Time Password) hoặc các hình thức push notification bảo mật hơn, không dựa vào đường truyền SMS. Vì vậy, ngay cả khi số điện thoại của bạn bị chiếm, kẻ tấn công vẫn không thể nhận mã xác thực nếu bạn sử dụng ứng dụng xác thực.
Bài học từ vụ LG Uplus
Vụ xâm nhập dữ liệu của LG Uplus - khi mạng nội bộ bị truy cập, dữ liệu khách hàng và nhân viên bị rò rỉ - là một lời cảnh báo nghiêm túc cho tất cả các tổ chức và người dùng. Khi hệ thống lõi bị tổn thương, lớp xác thực mỏng như SMS OTP càng không đủ sức đứng vững. Nếu bạn vẫn dùng SMS OTP cho tài khoản ngân hàng, nhà mạng, email hay ví điện tử thì hãy chuyển sang ứng dụng xác thực ngay hôm nay.
Tổ chức cũng cần xem lại chính sách bảo mật: nhà mạng, ngân hàng, dịch vụ tài chính và viễn thông nên thúc đẩy chuyển đổi từ SMS OTP sang ứng dụng xác thực, hoặc ít nhất khuyến khích người dùng bật lựa chọn này. Khi số điện thoại của bạn trở thành “chìa khóa chính” cho nhiều tài khoản, việc bảo vệ số đó đơn giản thôi chưa đủ - lớp xác thực tiếp theo cần thật sự vững chắc.
Trong lịch sử công nghệ bảo mật, SMS OTP từng là tiến bộ lớn trong bảo mật cá nhân, nhưng ngày nay nó đã bị rơi vào trạng thái “yếu điểm rõ ràng”. Khi kẻ tấn công có thể lấy quyền kiểm soát số điện thoại của bạn chỉ bằng một cú lừa kỹ thuật xã hội hoặc khai thác dữ liệu lộ ra, lớp bảo vệ từ SMS trở nên mong manh. Ứng dụng xác thực - tạo mã ngay trên thiết bị, không qua đường truyền SMS - đại diện cho bước chuyển mình hợp lý.
Và chính từ những bài học như vụ LG Uplus, chúng ta thấy rõ: không chỉ tổ chức mà cá nhân cũng cần chủ động. Hãy dành vài phút hôm nay để chuyển bật “Authenticator App” cho tài khoản quan trọng, đó có thể là việc nhỏ với bạn, nhưng lại là bước điện tử hóa lớp bảo vệ mạnh hơn trước kẻ tấn công đang ngày càng tinh vi.
