Từ những cuộc tấn công được lên kế hoạch sẵn, đến các cuộc đánh cắp dữ liệu từ nhà cung cấp phần mềm, phần cứng. Tất cả những thứ trên đều nhắm đến việc chiếm lấy dữ liệu của bạn, vậy nên nếu bạn thấy mình là một trong 12 cách hack điện thoại dưới đây thì nên cẩn thận đi nhé.
1. Phần mềm gián điệp (Spy apps)
Có rất nhiều ứng dụng giám sát điện thoại được thiết kế để bí mật theo dõi vị trí và liên lạc của ai đó. Những ứng dụng như vậy có thể được sử dụng để xem tin nhắn, email, lịch sử internet và ảnh từ xa; ghi nhật ký các cuộc gọi điện thoại và vị trí GPS; một số phần mềm thậm chí còn có thể chiếm đoạt micrô của điện thoại để ghi lại các cuộc trò chuyện. Về cơ bản, đây là hầu hết mọi thứ mà hacker có thể muốn làm với điện thoại của bạn.
Và đây không chỉ là lời nói suông. Khi pentester nghiên cứu các ứng dụng gián điệp trên điện thoại vào năm 2013, họ nhận thấy các ứng dụng đó có thể làm mọi thứ mà chúng muốn. Tệ hơn nữa, các ứng dụng này có thể được cài đặt dễ dàng bởi bất cứ ai, và mọi hành động của người dùng đều sẽ bị theo dõi.
Chester Wisniewski cho biết: “Không có quá nhiều dấu hiệu để nhận biết phần mềm gián điệp – bạn có thể thấy nhiều lưu lượng truy cập internet hơn trên hóa đơn của mình hoặc thời lượng pin của bạn có thể ngắn hơn bình thường vì các ứng dụng đó đang báo cáo lại cho bên thứ ba”.
Khả năng xảy ra
Các ứng dụng gián điệp có sẵn trên Google Play, cũng như các cửa hàng không chính thức dành cho ứng dụng iOS và Android, giúp bất kỳ ai có quyền truy cập vào điện thoại của bạn đều có thể tải chúng xuống một cách dễ dàng.
Cách bảo vệ bản thân
- Vì cài đặt các ứng dụng gián điệp yêu cầu quyền truy cập vật lý vào thiết bị của bạn, nên việc đặt mật mã trên điện thoại sẽ làm giảm đáng kể khả năng ai đó có thể truy cập vào điện thoại của bạn và cài chúng. Các ứng dụng gián điệp thường được cài đặt bởi một người nào đó gần gũi với bạn, vậy nên hãy đặt một mật khẩu mà không ai đoán được.
- Xem qua danh sách ứng dụng của bạn để tìm những ứng dụng lạ
- Đừng bẻ khóa iPhone của bạn. Wisniewski nói: “Nếu một thiết bị chưa được bẻ khóa, tất cả các ứng dụng sẽ được hiển thị. “Nếu nó được bẻ khóa, các ứng dụng gián điệp có thể ẩn sâu trong thiết bị và liệu phần mềm bảo mật có thể tìm thấy nó hay không phụ thuộc vào mức độ tinh vi của ứng dụng gián điệp”.
- Đối với iPhone, việc đảm bảo điện thoại của bạn không bị bẻ khóa cũng ngăn không cho bất kỳ ai tải ứng dụng gián điệp xuống điện thoại của bạn, vì phần mềm độc hại như vậy thường không có trên App Store. iOS nó kiểm duyệt app gắt hơn Android nhiều.
- Tải ứng dụng bảo mật di động. Đối với Android, mình thích McAfee hoặc Bitdefender, còn đối với iOS, mình đề xuất Lookout.
2. Tin nhắn lừa đảo (phishing messages)
Cho dù đó là một tin nhắn tự xưng là từ một trình theo dõi liên hệ coronavirus hay một người bạn khuyên bạn nên xem bức ảnh này trước khi ngủ, thì các tin nhắn SMS chứa các liên kết lừa đảo nhằm mục đích thu thập thông tin nhạy cảm (còn được gọi là phishing hoặc “smishing”) vẫn sẽ tấn công bạn.
Việc mọi người thường xuyên kiểm tra email cũng tạo ra cơ hội để những kẻ lừa đảo có thể tấn công bạn.
Điện thoại Android cũng có thể trở thành mồi ngon của các tin nhắn có link tải xuống ứng dụng độc hại (Cách lừa đảo tương tự không phổ biến đối với iPhone chưa được bẻ khoá, vì bạn không thể tải xuống ứng dụng từ bất kỳ đâu ngoại trừ App Store.). Tuy nhiên, Android sẽ cảnh báo bạn khi bạn cố tải xuống một ứng dụng không chính thức và yêu cầu bạn cho phép cài đặt ứng dụng đó – đừng bỏ qua cảnh báo này.
Các ứng dụng độc hại như vậy có thể tiết lộ dữ liệu điện thoại của người dùng hoặc được thiết kế để lấy cắp thông tin đăng nhập từ các ứng dụng mục tiêu – ví dụ: ngân hàng hoặc ứng dụng email của người dùng.
Khả năng xảy ra
Mặc dù mọi người đã học được cách đề phòng trước những email yêu cầu họ “nhấp để xem video vui nhộn này!”, Phòng thí nghiệm bảo mật Kaspersky lưu ý rằng người dùng có xu hướng ít cảnh giác hơn khi sử dụng điện thoại của mình.
Cách bảo vệ bản thân
- Hãy nhớ cách bạn thường xác minh danh tính của mình bằng nhiều tài khoản khác nhau – ví dụ: ngân hàng của bạn sẽ không bao giờ yêu cầu bạn nhập mật khẩu hoặc mã PIN đầy đủ.
- Thực hiện bài kiểm tra lừa đảo của IRS để tự làm quen với cách cơ quan pháp luật liên hệ với người dân và xác minh mọi thông tin liên lạc bạn nhận được.
- Tránh nhấp vào các liên kết từ các nội dung bạn không biết hoặc trong các tin nhắn mơ hồ tò mò từ bạn bè, đặc biệt nếu bạn không thể xem URL đầy đủ.
- Nếu bạn nhấp vào liên kết và cố gắng tải xuống một ứng dụng không chính thức, điện thoại Android của bạn sẽ thông báo cho bạn trước khi cài đặt nó. Nếu bạn bỏ qua cảnh báo hoặc ứng dụng bằng cách nào đó đã vượt qua bảo mật Android, hãy xóa ứng dụng và / hoặc chạy quét bảo mật di động.
3. Truy cập trái phép vào tài khoản iCloud hoặc Google
Tài khoản iCloud hoặc Google bị tấn công sẽ cung cấp cho hacker quyền truy cập vào một lượng lớn thông tin được sao lưu từ điện thoại của bạn – ảnh, danh bạ, vị trí hiện tại, tin nhắn, nhật ký cuộc gọi và trong trường hợp mật khẩu iCloud, hoặc mật khẩu đã lưu vào tài khoản email, trình duyệt và các ứng dụng khác.
Tội phạm mạng có thể không tìm thấy nhiều giá trị trong những bức ảnh thông thường – không giống như những bức ảnh k.hỏa t.hân của những người nổi tiếng, tuy nhiên sẽ có thể dẫn đến việc tài khoản và nội dung của bạn bị bắt làm “con tin kỹ thuật số” trừ khi nạn nhân phải trả tiền chuộc.
Ngoài ra, tài khoản Google bị lộ, cũng có nghĩa là Gmail bị bẻ khóa, tin tặc sẽ có được email chính của rất nhiều người dùng liên lạc với bạn.
Việc có quyền truy cập vào một email chính có thể dẫn đến việc tấn công theo hiệu ứng domino đối với tất cả các tài khoản được liên kết – từ tài khoản Facebook đến tài khoản nhà cung cấp dịch vụ di động của bạn, mở đường cho hành vi phishing bằng danh tính của bạn sẽ ảnh hưởng đến những người xung quanh bạn.
Khả năng xảy ra
“Đây là một rủi ro lớn. Tất cả những gì kẻ tấn công cần là một địa chỉ email, chứ không phải là truy cập vào điện thoại cũng như số điện thoại của bạn”. Nếu bạn tình cờ sử dụng tên của bạn trong email chính để đăng ký iCloud / Google và một mật khẩu yếu kết hợp thông tin nhận dạng cá nhân, thì sẽ không khó cho một hacker có thể dễ dàng thu thập những thông tin đó từ mạng xã hội hoặc công cụ tìm kiếm.
Cách bảo vệ bản thân
- Tạo mật khẩu mạnh cho các tài khoản chính này.
- Bật thông báo đăng nhập để bạn biết về các lần đăng nhập từ máy tính hoặc vị trí mới.
- Bật xác thực hai yếu tố để ngay cả khi ai đó phát hiện ra mật khẩu của bạn, họ cũng không thể truy cập vào tài khoản của bạn nếu không có quyền truy cập vào điện thoại của bạn.
- Để ngăn ai đó đặt lại mật khẩu của bạn, hãy nói dối khi đặt câu hỏi bảo mật mật khẩu.
4. Hack Bluetooth
Bất kỳ kết nối không dây nào cũng có thể dễ bị tấn công – và vào đầu năm nay, các nhà nghiên cứu bảo mật đã tìm thấy một lỗ hổng trong các thiết bị Android 9 trở lên cho phép tin tặc bí mật kết nối qua Bluetooth, sau đó thu thập dữ liệu trên thiết bị. (Trong các thiết bị Android 10, cuộc tấn công sẽ làm hỏng Bluetooth, khiến kết nối không thể thực hiện được.)
Mặc dù lỗ hổng bảo mật đã được vá trong các bản cập nhật bảo mật ngay sau đó, nhưng những kẻ tấn công có thể hack kết nối Bluetooth của bạn thông qua các lỗ hổng khác – hoặc bằng cách lừa bạn ghép nối với thiết bị của họ bằng cách đặt tên khác cho bluetooth (như ‘AirPods’ hoặc một cái tên phổ biến khác ). Và một khi được kết nối, thông tin cá nhân của bạn sẽ gặp rủi ro.
Khả năng xảy ra
Dmitry Galov, nhà nghiên cứu bảo mật tại Kaspersky cho biết: “Khá thấp, trừ khi đó là một cuộc tấn công có chủ đích”. “Ngay cả như vậy, thì cũng cần rất nhiều yếu tố phải kết hợp với nhau để có thể thực hiện được.”
Cách bảo vệ bản thân
- Chỉ bật Bluetooth khi bạn thực sự cần sử dụng.
- Không ghép nối thiết bị ở nơi công cộng để tránh trở thành con mồi cho các yêu cầu ghép nối độc hại.
- Luôn tải xuống các bản cập nhật bảo mật để vá các lỗ hổng ngay khi chúng được phát hiện
5. Đổi SIM
Tội phạm mạng có thể yêu cầu các nhà cung cấp dịch vụ di động đóng giả là khách hàng hợp pháp đã bị khóa tài khoản. Bằng cách cung cấp thông tin cá nhân bị đánh cắp, họ có thể chuyển số điện thoại sang thiết bị của riêng họ và sử dụng số điện thoại đó để chiếm đoạt tài khoản trực tuyến củdùnga người . Chẳng hạn, trong một loạt các vụ hack của Instagram, tin tặc đã sử dụng tên đăng nhập đã biết để yêu cầu thay đổi mật khẩu và chặn các xác thực đa yếu tố được gửi đến số điện thoại bị đánh cắp. Mục đích của lũ tội phạm này là đòi tiền chuộc hoặc, trong trường hợp là những tài khoản có giá trị cao, sẽ bị bán trên các thị trường ngầm.
Trên hết, các nhà nghiên cứu phát hiện ra rằng 5 đại diện của các nhà cung cấp dịch vụ lớn đã xác nhận tỉ lệ người dùng đưa ra thông tin sai là rất cao (chẳng hạn như địa chỉ thanh toán hoặc mã zip).
Khả năng xảy ra
Galov cho biết: “Hiện nay, việc hoán đổi SIM đặc biệt phổ biến ở Châu Phi và Châu Mỹ Latinh. “Nhưng chúng tôi cũng biết về các trường hợp này từ các quốc gia khác nhau trên toàn thế giới.”
Cách bảo vệ bản thân
- Không đặt mã PIN dễ đoán – như sinh nhật của bạn hoặc sinh nhật của gia đình, bởi vì tất cả chúng đều có thể tìm thấy trên mạng xã hội.
- Chọn một ứng dụng xác thực như Authy hoặc Google Authenticator thay vì SMS cho xác thực 2 yếu tố. Galov nói: “Biện pháp này sẽ bảo vệ bạn trong hầu hết các trường hợp.
- Sử dụng mật khẩu mạnh và xác thực đa yếu tố cho tất cả các tài khoản trực tuyến của bạn để giảm thiểu nguy cơ bị tấn công và làm lộ thông tin cá nhân được sử dụng để chiếm đoạt SIM của bạn.
6. Hack camera điện thoại
Khi cuộc gọi điện video ngày càng trở nên phổ biến đối với công việc và kết nối gia đình, thứ gì càng nổi tiếng thì càng thu hút người khác, camera chính là ví dụ điển hình nhất. Một lỗi nhỏ ứng dụng Camera trên Android sẽ cho phép những kẻ tấn công quay video, đánh cắp ảnh và dữ liệu định vị địa lý của hình ảnh, trong khi các ứng dụng độc hại có quyền truy cập vào ứng dụng máy ảnh của bạn cũng có thể cho phép tội phạm mạng chiếm đoạt máy ảnh của bạn.
Khả năng xảy ra
Hack camera điện thoại ít phổ biến hơn so với hack webcam trên máy tính. Cách đơn giản nhất là dùng saycheese chờ người dùng click vào cho phép.
Cách bảo vệ bản thân
- Luôn tải xuống các bản cập nhật bảo mật mới nhất cho tất cả các ứng dụng và thiết bị của bạn.
7. Ứng dụng yêu cầu quá nhiều quyền
Trong khi nhiều ứng dụng yêu cầu quá nhiều quyền cho mục đích thu thập dữ liệu, thì một số ứng dụng còn nguy hiểm hơn – đặc biệt nếu chúng được tải xuống từ các cửa hàng không chính thức, chúng có thể yêu cầu quyền truy cập xâm nhập vào bất kỳ thứ gì từ dữ liệu vị trí đến thư viện ảnh của bạn.
Theo nghiên cứu của Kaspersky, nhiều ứng dụng độc hại vào năm 2020 lợi dụng quyền truy cập Accessibility Service, một chế độ nhằm tạo điều kiện sử dụng điện thoại thông minh cho người khuyết tật. Galov nói: “Với quyền sử dụng này, các ứng dụng độc hại có khả năng tương tác vô hạn với giao diện hệ thống. Ví dụ: một số ứng dụng phần mềm theo dõi sẽ tận dụng quyền này.
Các ứng dụng VPN miễn phí cũng có thể là thủ phạm của việc yêu cầu quá nhiều quyền. Vào năm 2019, các nhà nghiên cứu phát hiện ra rằng 2/3 trong số 150 ứng dụng VPN miễn phí được tải xuống nhiều nhất trên Android đã đưa ra các yêu cầu dữ liệu nhạy cảm như vị trí của người dùng.
Khả năng xảy ra
Galov nói rằng việc yêu cầu quá nhiều quyền thường xảy ra.
Cách bảo vệ bản thân
- Đọc kĩ các quyền của ứng dụng và tránh tải xuống các ứng dụng yêu cầu nhiều quyền truy cập hơn mức chúng cần để hoạt động.
- Ngay cả khi các quyền của ứng dụng có vẻ phù hợp với chức năng của nó, hãy kiểm tra các bài đánh giá trực tuyến.
- Đối với Android, hãy tải xuống các ứng dụng chống vi-rút như McAfee hoặc Bitdefender, ứng dụng này sẽ quét các ứng dụng trước khi tải xuống, cũng như gắn cờ hoạt động đáng ngờ trên các ứng dụng bạn có.
8. Snooping qua Wi-Fi mở
Lần tới khi bạn bắt gặp một mạng Wi-Fi không có mật khẩu ở nơi công cộng, tốt nhất là bạn không nên kết nối vào wifi đó. Hacker có thể lợi dụng Wi-Fi không an toàn để xem tất cả lưu lượng truy cập không được mã hóa. Và các điểm truy cập công khai bất chính có thể chuyển hướng bạn đến các trang web giao dịch ngân hàng hoặc email được thiết kế để lấy username và mật khẩu của bạn. Ví dụ: ai đó có thể thiết lập mạng Wi-Fi miễn phí được đặt tên theo quán cà phê, với hy vọng các bạn sẽ truy cập vào mạng đó và chịu sự kiểm soát của người thiết lập wifi đó.
Khả năng xảy ra
Bất kỳ người nào hiểu biết về công nghệ đều có thể tải xuống các phần mềm cần thiết để chặn và phân tích lưu lượng truy cập Wi-Fi.
Cách bảo vệ bản thân
- Chỉ sử dụng mạng Wi-Fi công cộng được bảo mật bằng mật khẩu và đã bật WPA2/3, phương thức mã hoá lưu lượng truy cập trên wifi.
- Tải xuống ứng dụng VPN để mã hóa lưu lượng truy cập.
- Nếu bạn phải kết nối với mạng công cộng và không có ứng dụng VPN, hãy tránh đăng nhập vào các trang web ngân hàng hoặc email. Nếu bạn không thể tránh, hãy đảm bảo URL trong thanh địa chỉ trình duyệt của bạn là URL chính xác. Và không bao giờ nhập thông tin cá nhân trừ khi bạn có kết nối an toàn với trang web khác.
- Bật xác thực hai yếu tố cho các tài khoản trực tuyến cũng sẽ giúp bảo vệ quyền riêng tư của bạn trên Wi-Fi công cộng.
9. Ứng dụng có mã hóa yếu
Ngay cả những ứng dụng không độc hại cũng có thể khiến thiết bị di động của bạn dễ bị tấn công. Theo Viện InfoSec, các ứng dụng sử dụng thuật toán mã hóa yếu có thể làm rò rỉ dữ liệu của bạn. Hoặc, những người có các thuật toán mạnh được triển khai không đúng cách có thể tạo ra backdoors để tin tặc khai thác, cho phép truy cập vào tất cả dữ liệu cá nhân trên điện thoại của bạn.
khả năng xảy ra
Galov nói: “Đây là nguy cơ tiềm ẩn ít có khả năng xảy ra hơn những mối đe dọa khác như Wi-Fi không an toàn hoặc lừa đảo”.
Cách bảo vệ bản thân
- Kiểm tra đánh giá ứng dụng trước khi tải xuống – không chỉ trên các cửa hàng ứng dụng (thường bị đánh giá là spam), mà còn là trên Google.
- Nếu có thể, chỉ tải xuống ứng dụng từ các nhà phát triển có uy tín – ví dụ: những cá nhân trên Google với các đánh giá và kết quả phản hồi tích cực hoặc trên các trang web đánh giá của người dùng như Trustpilot. Theo Kaspersky, “các nhà phát triển và tổ chức có trách nhiệm thực thi các tiêu chuẩn mã hóa trước khi ứng dụng được triển khai”.
10. Hack điện thoại qua giao thức SS7
Giao thức liên lạc dành cho các mạng di động trên toàn thế giới. Hệ thống báo hiệu số 7 (SS7), tồn tại một lỗ hổng bảo mật cho phép tin tặc theo dõi tin nhắn văn bản, cuộc gọi điện thoại và vị trí của người khác.
Vấn đề bảo mật này đã nổi tiếng trong nhiều năm qua và tin tặc đã khai thác lỗ hổng này để chặn mã xác thực hai yếu tố (2FA) được gửi qua SMS từ các ngân hàng, trong đó tội phạm mạng ở Đức rút sạch tài khoản ngân hàng của nạn nhân. Ngân hàng Metro của Vương quốc Anh cũng trở thành con mồi của một cuộc tấn công tương tự.
Phương pháp này cũng có thể được sử dụng để hack các tài khoản trực tuyến khác, từ email đến mạng xã hội, phá hoại tài chính và cá nhân.
Theo nhà nghiên cứu bảo mật Karsten Nohl, các cơ quan thực thi pháp luật và tình báo sử dụng cách khai thác này để chặn dữ liệu điện thoại di động, do đó không nhất thiết phải vá lỗ hổng này.
Khả năng xảy ra
Các cuộc tấn công của lỗ hổng này ngày càng tăng lên, vì càng có nhiều người cần sử dụng cách khai thác này để tấn công các nhà chính trị, CEO, hoặc đánh cấp mã xác thực 2 yếu tố của các tài khoản trực tuyến.
Cách bảo vệ bản thân
- Chọn email hoặc (an toàn hơn là) ứng dụng xác thực làm phương pháp 2FA (xác thực 2 yếu tố) cho bạn, thay vì SMS.
- Wisniewski cho biết hãy sử dụng dịch vụ tin nhắn được mã hóa end-to-end hoạt động trên internet (không cần sử dụng giao thức SS7). WhatsApp (miễn phí, iOS / Android), Signal (miễn phí, iOS / Android) và Wickr Me (miễn phí, iOS / Android) đều mã hóa tin nhắn và cuộc gọi, ngăn không cho bất kỳ ai chặn hoặc can thiệp vào liên lạc của bạn.
11. Trạm sạc độc hại
Các chuyên gia mạng đã phát đi một cảnh báo an ninh về nguy cơ bị chiếm đoạt bằng trạm sạc điện USB công cộng ở các địa điểm như sân bay và khách sạn.
Các trạm sạc độc hại – bao gồm cả các máy tính được tải phần mềm độc hại – tận dụng lợi thế của cáp USB tiêu chuẩn để truyền dữ liệu cũng như sạc pin. Điện thoại Android cũ hơn thậm chí có thể tự động mở ổ cứng khi kết nối với bất kỳ máy tính nào, để lộ dữ liệu của nó cho các tin tặc.
Các nhà nghiên cứu bảo mật cũng đã chỉ ra rằng tin tặc có thể chiếm quyền điều khiển tính năng phát video để khi được cắm vào một trạm sạc độc hại, tin tặc có thể theo dõi mọi thao tác gõ phím, bao gồm cả mật khẩu và dữ liệu nhạy cảm.
Khă năng xảy ra
Thường khá thấp. Không có trường hợp nào được biết đến rộng rãi về các điểm sạc bị tấn công, vì khi điện thoại Android mới hơn yêu cầu quyền tải ổ cứng của họ khi được cắm vào máy tính mới; iPhone yêu cầu mã PIN. Tuy nhiên, các lỗ hổng mới có thể được phát hiện.
Cách bảo vệ bản thân
- Không cắm thiết bị vào các lỗ sạc không xác định; mang theo bộ sạc tường. Bạn có thể đầu tư vào dây cáp USB chỉ sạc như PortaPow.
- Nếu ổ điện công cộng là lựa chọn duy nhất của bạn để sạc pin, hãy chọn tùy chọn “Chỉ sạc” (điện thoại Android) nếu bạn nhận được cửa sổ bật lên khi cắm vào hoặc từ chối quyền truy cập từ máy tính khác (iPhone).
12. Tháp di động giả, như FBI’s Stingray
FBI, IRS, ICE, DEA, Vệ binh Quốc gia Hoa Kỳ, Quân đội và Hải quân là một trong số các cơ quan chính phủ được biết là sử dụng các thiết bị giám sát di động (StingRays) để bắt chước các tháp mạng chân chính.
StingRays, và các tháp của nhà cung cấp dịch vụ không dây giả danh tương tự, buộc các điện thoại di động gần đó phải bỏ kết nối mạng hiện có của họ để kết nối với StingRay, cho phép người vận hành thiết bị giám sát các cuộc gọi và tin nhắn được thực hiện bởi những điện thoại này.
Vì StingRays có bán kính khoảng 1km, nên các nỗ lực theo dõi điện thoại của kẻ tình nghi ở trung tâm thành phố đông đúc có thể khiến hàng chục nghìn điện thoại bị nghe trộm.
Khả năng xảy ra
Mặc dù công dân bình thường không phải là mục tiêu của hoạt động StingRay, nhưng chúng ta không thể biết được dữ liệu không liên quan được thu thập từ những người không phải là mục tiêu sẽ bị xử lý như thế nào.
Cách bảo vệ bản thân
- Sử dụng các ứng dụng nhắn tin và gọi thoại được mã hóa, đặc biệt nếu bạn rơi vào tình huống có thể được chính phủ quan tâm, chẳng hạn như một cuộc biểu tình. Signal (miễn phí, iOS / Android) và Wickr Me (miễn phí, iOS / Android) đều mã hóa tin nhắn và cuộc gọi, ngăn bất kỳ ai chặn hoặc can thiệp vào liên lạc của bạn. Wisniewski cho biết hầu hết mã hóa đang được sử dụng ngày nay đều không thể phá vỡ và một cuộc gọi điện thoại sẽ mất 10-15 năm để giải mã.