Bitcoin hay các loại tiền điện tử nói chung đứng trước nguy cơ bị tin tặc tấn công. Lỗ hổng không liên quan trực tiếp đến các đồng tiền mã hóa mà do kẽ hở trong phương thức bảo mật phổ biến hiện nay là xác thực OTP (mật khẩu một lần) thông qua tin nhắn văn bản SMS. Sự phổ biến của tiền điện tử đặt ra thách thức bảo mật cho người dùng. Các nhà nghiên cứu bảo mật đã cảnh báo từ nhiều năm qua về vấn đề nghiêm trọng đối với Hệ thống báo hiệu số 7 (SS7), cho phép hacker nghe lén các cuộc gọi, đọc tin nhắn trên diện rộng, bất chấp các công nghệ mã hóa tiên tiến đang được các nhà mạng di động áp dụng. Kịch bản tấn công được chuyên gia của Positive xây dựng khi biết được số điện thoại và họ tên của nạn nhân (từ số điện thoại có thể tìm được nhiều thông tin cá nhân khác). Kẻ tấn công sẽ gửi yêu cầu đặt lại mật khẩu email và Google sẽ gửi mã OTP để xác thực việc này. Do khai thác được lỗ hổng SS7 nên hacker có thể đọc được tin nhắn SMS chứa mã OTP, từ đó chiếm quyền truy cập vào Gmail. Lúc này, hacker tiếp tục vào ví chứa tiền mã hóa, chẳng hạn Coinbase, để đặt lại mật khẩu cho ví tương tự việc đánh cắp Gmail. Sau khi hoàn thành, tin tặc sẽ có toàn quyền truy cập đến ví tiền điện tử của nạn nhân và thực hiện các lệnh chuyển tiền. Vấn đề không nằm ở lỗ hổng của tiền mã hóa hay ví tiền điện tử mà đến từ phía các nhà mạng. Với việc khai thác SS7, hacker có thể chiếm Facebook, Gmail hay nhiều tài khoản trực tuyến khác sử dụng phương thức xác thực hai bước qua SMS. Mặc dù đã có nhiều cảnh báo trong những năm qua nhưng các nhà mạng vẫn phớt lờ trước vấn đề bảo mật nghiêm trọng này. Năm 2016, các nhà nghiên cứu từ Positive Technologies đã trình diễn cuộc tấn công vào WhatsApp, Telegram và Facebook thông qua lỗ hổng SS7. Còn trong chương trình truyền hình 60 phút, chuyên gia bảo mật Karsten Nohl từ Đức đã thành công trong việc nghe lén cuộc gọi và theo dõi vị trí chiếc iPhone của Ted Lieu, một chính khách Mỹ, cũng thông qua SS7. Bảo Anh Let's block ads! (Why?)Theo Trang Công Nghệ
