Có một cuộc tấn công mới được phát hiện vào tin nhắn SMS mà nạn nhân hầu như không nhìn thấy và dường như đã bị ngành viễn thông trừng phạt, được phát hiện trong một báo cáo của Bo mạch chủ. Cuộc tấn công sử dụng các dịch vụ quản lý tin nhắn văn bản nhằm vào các doanh nghiệp để âm thầm chuyển hướng tin nhắn văn bản từ nạn nhân sang tin tặc, cấp cho họ quyền truy cập vào bất kỳ mã hai yếu tố hoặc liên kết đăng nhập nào được gửi qua tin nhắn văn bản.
Đôi khi, các công ty cung cấp dịch vụ không gửi bất kỳ loại tin nhắn nào đến số đang được chuyển hướng, để xin phép hoặc thậm chí thông báo cho chủ sở hữu rằng tin nhắn của họ hiện đang được chuyển đến người khác. Sử dụng các dịch vụ này, những kẻ tấn công không chỉ có thể chặn các tin nhắn văn bản đến mà còn có thể trả lời.
Joseph Cox, Bo mạch chủ báo cáo, đã có người thực hiện thành công cuộc tấn công vào số của anh ta, và kẻ tấn công chỉ mất 16 đô la. Khi anh ta liên hệ với các công ty khác cung cấp dịch vụ chuyển hướng SMS, một số người trong số họ báo cáo rằng họ đã từng thấy kiểu tấn công này trước đây.
Công ty cụ thể mà Bo mạch chủ được cho là đã sửa lỗi khai thác, nhưng có nhiều người khác giống như nó – và dường như không có ai nắm giữ các công ty để tính toán. Khi được hỏi tại sao kiểu tấn công này lại có thể xảy ra, AT&T và Verizon chỉ đơn giản là The Verge để liên hệ với CTIA, tổ chức thương mại cho ngành công nghiệp không dây. CTIA không có sẵn bình luận ngay lập tức, nhưng nó cho biết Bo mạch chủ cái đó nó “không có dấu hiệu về bất kỳ hoạt động độc hại nào liên quan đến mối đe dọa tiềm ẩn hoặc bất kỳ khách hàng nào bị ảnh hưởng.”
Tin tặc đã tìm ra nhiều cách để khai thác SMS và hệ thống di động để lấy tin nhắn của người khác – các phương pháp như Hoán đổi SIM và Các cuộc tấn công SS7 đã được nhìn thấy trong tự nhiên trong một vài năm nay và đôi khi thậm chí còn được sử dụng để chống lại các mục tiêu cao cấp. Nhưng với việc hoán đổi SIM, khá dễ dàng để nói rằng bạn đang bị tấn công: điện thoại của bạn sẽ hoàn toàn ngắt kết nối với mạng di động. Nhưng với tính năng chuyển hướng SMS, có thể mất một khoảng thời gian trước khi bạn nhận thấy rằng ai đó đang nhận được tin nhắn của bạn – quá đủ thời gian để những kẻ tấn công xâm phạm tài khoản của bạn.
Mối quan tâm chính đối với các cuộc tấn công SMS là những tác động mà chúng có thể gây ra đối với sự bảo mật của các tài khoản khác của bạn. Nếu kẻ tấn công có thể nhận được liên kết đặt lại mật khẩu hoặc mã được gửi đến số điện thoại của bạn, thì chúng sẽ có quyền truy cập vào đó và có thể truy cập vào tài khoản của bạn. Tin nhắn văn bản đôi khi cũng được sử dụng để gửi liên kết đăng nhập, như Bo mạch chủ tìm thấy với Postmate, WhatsApp và Bumble.
Điều này cũng như một lời nhắc nhở rằng nên tránh sử dụng SMS đối với bất kỳ điều gì liên quan đến bảo mật, nếu có thể – để xác thực hai yếu tố, tốt hơn nên sử dụng một ứng dụng như Google Authenticator hoặc Authy. Một số trình quản lý mật khẩu thậm chí còn hỗ trợ 2FA được tích hợp sẵn, như 1Password hoặc nhiều người quản lý miễn phí khác mà chúng tôi đề xuất. Điều đó nói lên rằng, vẫn có những dịch vụ và công ty chỉ sử dụng tin nhắn văn bản như một yếu tố thứ hai – ngành ngân hàng nổi tiếng với điều đó. Đối với những dịch vụ đó, bạn sẽ muốn đảm bảo rằng mật khẩu của mình là an toàn và duy nhất, sau đó thúc đẩy cả hai dịch vụ này rời khỏi SMS và để ngành di động tự làm việc để tự bảo mật hơn.