Kẻ lừa đảo có thể làm gì với số điện thoại của bạn?

Hầu hết mọi người không suy nghĩ nhiều trước khi chia sẻ số điện thoại, nhưng nếu xét kỹ bạn sẽ thấy số điện thoại là điểm khởi đầu thuận lợi cho kẻ muốn trục lợi. Bạn dùng nó để giao dịch ngân hàng, nhận mã xác thực hai yếu tố, và thậm chí để đăng nhập mạng xã hội.

Nếu bạn đang tự hỏi ai đó có thể làm gì với số điện thoại của bạn, câu trả lời không đơn giản. Nó mở ra nhiều cơ hội cho kẻ tấn công, nhưng không phải là mối nguy ngay lập tức nếu bạn đã thiết lập biện pháp bảo vệ phù hợp.

Kẻ tấn công không thể xâm nhập thiết bị của bạn chỉ bằng một số điện thoại. Nhưng nếu họ kết hợp nó với thông tin khác từ các vụ rò rỉ dữ liệu hoặc hồ sơ công khai, rủi ro sẽ tăng lên. Họ có thể dùng số đó trong chiến dịch lừa đảo qua tin nhắn, chiếm quyền tài khoản, và trong trường hợp nghiêm trọng nhất là đánh cắp danh tính.

Những điều cần biết:

• Một mình số điện thoại không thể trực tiếp hack thiết bị của bạn.
• Kẻ lừa đảo dùng số điện thoại để phishing qua SMS, mạo danh và cố gắng đặt lại mật khẩu.
• Rủi ro lớn nhất là hoán đổi SIM, cho phép kẻ tấn công chặn mã đăng nhập.
• Nguy cơ tăng khi số của bạn đi kèm dữ liệu cá nhân khác bị lộ.
• Sự cố dịch vụ bất ngờ hoặc cảnh báo đăng nhập có thể là dấu hiệu bị tấn công.
• Xác thực mạnh mẽ và các biện pháp bảo vệ từ nhà mạng giảm đáng kể rủi ro.

Kẻ lừa đảo có thể làm gì với số điện thoại của bạn?

Khi kẻ lừa đảo có được số điện thoại của bạn, họ có thể gửi tin nhắn phishing (smishing), giả mạo số gọi đến (ID) và thử đặt lại mật khẩu cho các tài khoản của bạn. Trong nhiều trường hợp, số điện thoại chỉ là một mảnh trong chiến lược lừa đảo rộng hơn. Điều cần lưu ý là không cần phải có truy cập vật lý vào thiết bị để thực hiện những tấn công này — chỉ cần số của bạn là đủ để bắt đầu.

Có vài chiêu thức phổ biến mà kẻ lừa đảo sử dụng, nổi bật nhất là smishing. Đó là tin nhắn phishing dựa trên SMS mạo danh các công ty bạn thường giao dịch, như ngân hàng, dịch vụ giao hàng hoặc cơ quan nhà nước. Những tin nhắn này thường chứa đường link dẫn đến trang web có biểu mẫu yêu cầu bạn điền thông tin, hoặc yêu cầu gọi đến đường dây hỗ trợ giả mạo. Vì tin nhắn trông giống như đến từ nguồn chính thức, nhiều người trả lời ngay mà không suy nghĩ kỹ.

Trong một số tình huống, số của bạn có thể được dùng để kích hoạt quá trình đặt lại mật khẩu. Dịch vụ trực tuyến thường gửi mã một lần qua SMS khi người dùng yêu cầu đặt lại. Nếu điều đó xảy ra, và kẻ tấn công đã biết địa chỉ email của bạn, họ có thể khởi động yêu cầu đặt lại rồi tìm cách chặn hoặc lừa bạn cung cấp mã đó.

Kẻ lừa đảo có thể truy cập tài khoản của bạn chỉ với số điện thoại không?

Một mình số điện thoại thường không đủ để truy cập trực tiếp vào tài khoản của bạn. Để tấn công thành công, họ cần ít nhất một thông tin khác, ví dụ địa chỉ email hoặc mật khẩu bị lộ.

Điểm yếu chính nằm ở quy trình đặt lại mật khẩu. Nếu một dịch vụ sử dụng xác thực bằng SMS làm phương thức khôi phục duy nhất, và kẻ tấn công có thể nhận tin nhắn của bạn, họ có thể truy cập tài khoản. Điều này thường đòi hỏi kẻ tấn công đã chiếm quyền tin nhắn của bạn qua hoán đổi SIM hoặc cài malware trên thiết bị của bạn.

Nhiều công ty đang giảm dần việc dùng SMS làm yếu tố thứ hai cho các giao dịch nhạy cảm vì nó quá dễ bị tấn công. Đã có nhiều vụ chiếm quyền tài khoản được ghi nhận với nạn nhân là người nắm giữ tiền mã hóa, nhà báo và nhiều người khác.

Kẻ lừa đảo có thể mạo danh bạn hoặc nhắm vào danh bạ của bạn không?

Có. Việc giả mạo số gọi đến (ID) cho phép kẻ tấn công gọi hoặc nhắn tin trông như xuất phát từ số của bạn. Chiêu này ngày càng phổ biến nhờ tiến bộ trong công nghệ AI, khiến việc giả danh trở nên dễ dàng hơn. Công nghệ này dễ tiếp cận, chi phí rất thấp và dễ dùng.

Khi kẻ gian đã giả mạo được số của bạn, họ có thể gọi cho danh bạ và yêu cầu chuyển tiền khẩn cấp, gửi đường link thanh toán giả, hoặc yêu cầu mã xác thực. Dễ hiểu vì sao những chiêu này hiệu quả: người nhận thấy tên hoặc số họ tin tưởng hiện trên màn hình, nên sẽ làm theo yêu cầu mà không nghi ngờ.

Khi biết có người giả mạo số của bạn, hãy thông báo ngay cho danh bạ. Dùng kênh mà bạn kiểm soát (tin nhắn nhóm từ thiết bị của bạn hoặc email) và báo cáo sự việc với nhà mạng.

Số điện thoại có thể được dùng để đánh cắp danh tính không?

Một mình số điện thoại không đủ để gây ra đánh cắp danh tính. Vấn đề xuất hiện khi nó kết hợp với các thông tin nhận dạng cá nhân (PII) khác như họ tên đầy đủ, ngày sinh hoặc mã số an sinh xã hội. Khi kẻ tấn công có hai hay nhiều điểm dữ liệu, họ có thể cố mở thẻ tín dụng dưới tên bạn, khai thuế gian lận hoặc truy cập tài khoản tài chính.

Thách thức với người dùng là khó biết đã có bao nhiêu thông tin của bạn bị lộ. Thường có các vụ rò rỉ dữ liệu quy mô lớn, nơi hàng triệu số điện thoại bị lọt ra kèm theo tên khách hàng, địa chỉ và thông tin tài khoản.

Những hồ sơ này có thể xuất hiện trên dark web, nơi kẻ tấn công mua lại dưới dạng cơ sở dữ liệu. Vì lý do đó, nhiều công ty coi số điện thoại là dữ liệu nhạy cảm; khi dùng chung với dữ liệu cá nhân khác, mức độ nhạy cảm của số điện thoại tăng lên đáng kể. Trong hầu hết trường hợp, việc này không phải do bạn làm sai mà dẫn đến rò rỉ.

Kẻ lừa đảo có được số điện thoại của bạn từ đâu?

Kẻ lừa đảo thu thập số điện thoại qua các vụ rò rỉ dữ liệu, trang tìm kiếm người, biểu mẫu phishing và hệ thống quay số tự động dò các đường dây đang hoạt động. Cần lưu ý rằng thường có một khoảng thời gian dài, đôi khi cả năm, giữa lúc số của bạn bị xâm phạm và khi bạn nhận thấy hoạt động đáng ngờ.

Nếu bạn tự hỏi kẻ lừa đảo lấy số của bạn từ đâu, hầu như luôn quay về một trong những nguồn này.

Nguồn khác là hồ sơ công khai. Hồ sơ tòa án, đăng ký cử tri và hồ sơ tài sản thường chứa số điện thoại và ở nhiều khu vực có thể truy cập trực tuyến. Việc điền thẻ đăng ký bảo hành hoặc đăng ký chương trình khách hàng thân thiết của cửa hàng cũng có thể đưa số của bạn vào cơ sở dữ liệu marketing, sau đó bị xâm nhập hoặc bán lại.

Vai trò của các vụ rò rỉ dữ liệu và môi giới dữ liệu là gì?

Rò rỉ dữ liệu là nguồn lớn nhất đưa số điện thoại ra ngoài, và các công ty môi giới dữ liệu làm trầm trọng thêm vấn đề bằng cách tổng hợp và phân phối thông tin từ các vụ rò rỉ này.

Khi một công ty bị xâm phạm, hồ sơ khách hàng thường xuất hiện trên diễn đàn và chợ đen trong vài ngày. Từ đó, kẻ tấn công đối chiếu chúng với các cơ sở dữ liệu khác để ghép nối và hoàn thiện hồ sơ của từng người.

Các môi giới dữ liệu như Whitepages, Spokeo và BeenVerified làm vấn đề tồi tệ hơn bằng cách gom dữ liệu công khai và thương mại vào một cơ sở dữ liệu có thể tìm kiếm. Với một khoản phí nhỏ, bất kỳ ai cũng có thể tra cứu số điện thoại và nhận về tên, địa chỉ và chi tiết cá nhân liên quan. Có thể xóa thông tin của bạn khỏi những trang này, nhưng bạn phải gửi yêu cầu từ chối (opt-out) tới từng bên môi giới.

Làm sao biết số điện thoại của bạn đã bị xâm phạm?

Số điện thoại của bạn có thể đã bị xâm khi bạn đột ngột mất dịch vụ di động hoặc nhận các tin nhắn đặt lại mật khẩu mà bạn không yêu cầu. Dấu hiệu khác bao gồm thông báo về thay đổi tài khoản bạn không thực hiện và báo cáo từ danh bạ rằng họ nhận được tin nhắn đáng ngờ từ số của bạn.

Hãy cảnh giác nếu một cụm các sự kiện này xuất hiện trong thời gian ngắn. Một cuộc gọi rác đơn lẻ không phải là lý do báo động. Tình huống đáng lo là mất hoàn toàn sóng, trong khi thiết bị và SIM vẫn nguyên vẹn về mặt vật lý, kèm theo cảnh báo đăng nhập hoặc yêu cầu xác thực bạn không khởi xướng. Mẫu này thường chỉ ra hoán đổi SIM.

Nếu có dấu hiệu đáng ngờ, kiểm tra nhanh tài khoản nhà mạng để xem có chỉnh sửa trái phép nào không. Gọi từ điện thoại khác hoặc đến cửa hàng trực tiếp. Sau đó đăng nhập vào email, ngân hàng và tài khoản mạng xã hội để kiểm tra các thay đổi bạn không thực hiện.

Hoán đổi SIM là gì và tại sao nó là mối đe dọa lớn nhất?

Hoán đổi SIM là cuộc tấn công trong đó kẻ lừa đảo thuyết phục nhà mạng chuyển số điện thoại của bạn sang một SIM do họ kiểm soát. Điều này cho phép kẻ tấn công chặn mọi cuộc gọi và tin nhắn gửi đến số của bạn. Đây là mối đe dọa nghiêm trọng nhất liên quan đến số điện thoại vì nó vượt qua hoàn toàn cơ chế an toàn của xác thực hai yếu tố dựa trên SMS.

Nếu hoán đổi SIM thành công, kẻ tấn công có thể nhận mọi mã xác thực SMS gửi tới điện thoại bạn. Hãy nghĩ đến các trường hợp có thể xảy ra: mã một lần cho email và ngân hàng, xác thực trên sàn giao dịch tiền mã hóa, và truy cập mạng xã hội.

Thiệt hại có thể leo thang nhanh khi email của bạn bị xâm, vì kẻ lừa đảo có thể khởi động quá trình đặt lại mật khẩu cho hàng chục dịch vụ khác. Để hỗ trợ người dùng, khuyến cáo chống lừa đảo hoán đổi SIM của FCC hướng dẫn các biện pháp bảo vệ ở cấp nhà mạng, cách báo cáo và những điều cần lưu ý.

Hoán đổi SIM hoạt động như thế nào?

Để hoán đổi SIM thành công, kẻ tấn công trước tiên thu thập thông tin cá nhân về mục tiêu, sau đó mạo danh bạn và liên hệ nhà mạng để chuyển số.

Kẻ tấn công thu thập thông tin như họ tên, địa chỉ, số tài khoản, bốn chữ số cuối của mã an sinh xã hội từ các vụ rò rỉ trước đó hoặc hồ sơ mạng xã hội. Sau đó họ khởi tạo yêu cầu hoán đổi SIM với nhà mạng qua cổng trực tuyến hoặc tổng đài hỗ trợ. Bởi vì họ đã có thông tin của bạn, họ dễ dàng vượt qua bước xác minh và yêu cầu được chấp thuận.

Trong một số trường hợp, kẻ tấn công hối lộ hoặc dùng kỹ thuật xã hội để thao túng nhân viên nhà mạng trực tiếp. Một biến thể của hoán đổi SIM, gọi là lừa đảo chuyển số, có quy trình tương tự nhưng chuyển số sang nhà mạng khác.

Kẻ lừa đảo ưa dùng hoán đổi SIM vì bất kỳ cuộc tấn công nào chuyển hướng được tin nhắn SMS sẽ ngay lập tức vượt qua cơ chế bảo mật của mọi tài khoản dựa trên mã xác thực SMS.

Bạn có cần lo lắng nếu ai đó có số điện thoại của bạn không?

Nếu ai đó có số điện thoại của bạn, chưa hẳn đã là vấn đề phải lo lắng ngay. Bạn có thể nhận các cuộc gọi rác và vài tin nhắn phishing, nhưng riêng điều đó chưa đủ để đánh mất tài khoản hay danh tính.

Nguy cơ tăng khi bạn dùng số điện thoại cho khôi phục tài khoản qua SMS (cho email, ngân hàng hoặc dịch vụ khác). Rủi ro còn lớn hơn nếu số của bạn bị lộ kèm dữ liệu cá nhân khác trong một vụ rò rỉ. Khi kẻ tấn công có email và mật khẩu bị rò rỉ cùng với số điện thoại, họ có nhiều khả năng chiếm tài khoản hơn so với kẻ chỉ tìm thấy số trên mạng xã hội.

Cách phân biệt spam thông thường và mối đe dọa nghiêm trọng?

Spam thông thường là cách làm đại trà gồm các cuộc gọi tự động, tiếp thị qua điện thoại và tin nhắn lừa đảo gửi tới hàng nghìn số cùng lúc. Chúng phiền toái nhưng ít khi nguy hiểm; biện pháp cần làm chỉ là chặn và báo cáo.

Ngược lại, mối đe dọa nghiêm trọng thường là tin nhắn nhắm mục tiêu có tên thật của bạn, kèm thông tin về ngân hàng hoặc giao dịch gần đây — dấu hiệu cho thấy kẻ gửi có nhiều hơn chỉ mỗi số điện thoại. Việc nhận liên tiếp mã đặt lại mật khẩu là tín hiệu cho thấy ai đó đang cố gắng truy cập tài khoản. Trong trường hợp hoán đổi SIM, điện thoại của bạn có thể đột ngột hiển thị "Không có dịch vụ".

Nên làm gì nếu kẻ lừa đảo có số điện thoại của bạn?

Nếu bạn tin rằng kẻ lừa đảo có số điện thoại của bạn, hãy khóa tài khoản nhà mạng ngay lập tức, đổi mật khẩu các tài khoản quan trọng nhất và nâng cấp phương thức xác thực. Bạn cũng nên báo cáo vụ việc.

Việc này phải thực hiện càng nhanh càng tốt vì khoảng thời gian giữa hoán đổi SIM và việc chiếm đoạt tài khoản hoàn toàn có thể chỉ trong vài phút. Biết phải làm gì khi kẻ lừa đảo có số điện thoại của bạn chính là tốc độ phản ứng.

Nếu không chắc phải làm gì, bắt đầu bằng cách bảo vệ tài khoản nhà mạng. Dùng một điện thoại khác (điện thoại cố định hoặc điện thoại của người thân), hoặc đến cửa hàng trực tiếp, yêu cầu họ ngay lập tức khoá các thay đổi liên quan đến SIM và yêu cầu chuyển đi (port-out).

Sau khi tài khoản nhà mạng được an toàn, kiểm tra email trước (vì email kiểm soát việc đặt lại cho nhiều dịch vụ khác), rồi đến ngân hàng và mạng xã hội. Nếu lo ngại mình bị đánh cắp danh tính, hãy đóng băng tín dụng với cả ba cơ quan (Equifax, Experian, TransUnion) và nộp báo cáo tại IdentityTheft.gov.

Khi nộp báo cáo, hãy ghi chép chi tiết mọi thứ bạn có thể: chụp màn hình, mốc thời gian và số tham chiếu từ các cuộc gọi với nhà mạng, vì bạn có thể cần dùng những bằng chứng này để tranh chấp các khoản phí gian lận sau này.

Làm sao để bảo vệ tài khoản nhà mạng?

Để bảo vệ tài khoản nhà mạng, bạn nên đặt một mã bảo vệ SIM (PIN), tạo mã truy cập tài khoản mạnh và duy nhất, và bật các biện pháp bảo vệ chuyển số.

Một mã bảo vệ SIM (PIN) là mã cần nhập trước khi SIM có thể được dùng trên thiết bị mới. Bạn có thể thiết lập trong cài đặt điện thoại hoặc gọi hỗ trợ. Ngoài ra, tài khoản nhà mạng (nơi bạn đăng nhập để quản lý hóa đơn) cần có mã truy cập mạnh khác với mã bảo vệ SIM.

Cuối cùng, hầu hết nhà mạng có tùy chọn khoá số hoặc đóng băng chuyển đi (port freeze) để ngăn chặn việc chuyển số trái phép. Bạn có thể bật các cài đặt này trong tài khoản trực tuyến. Để có cái nhìn tổng quan về bảo mật di động, khuyến nghị của NIST về bảo mật thiết bị di động cung cấp khuôn khổ hữu ích bao quát hầu hết tình huống.

Làm sao để bảo vệ tài khoản trực tuyến của bạn?

Thay thế xác thực hai yếu tố dựa trên SMS bằng phương án dùng ứng dụng hoặc phần cứng. Dùng ứng dụng xác thực như Google Authenticator, Microsoft Authenticator hoặc Authy để tạo mã theo thời gian trên thiết bị của bạn; cách này giúp tài khoản miễn nhiễm trước hoán đổi SIM.

Để bảo vệ sâu hơn, bạn có thể dùng khóa bảo mật phần cứng như YubiKey. Chúng khiến việc chiếm quyền tài khoản từ xa trở nên không thể vì cần có vật dụng vật lý để xác nhận đăng nhập.

Tái sử dụng mật khẩu cũng làm tăng nguy cơ vì nếu một trang bị hack, kẻ tấn công có mật khẩu để truy cập nhiều dịch vụ khác. Để giảm rủi ro, dùng trình quản lý mật khẩu để tạo và lưu mật khẩu riêng cho từng tài khoản.

Để bảo vệ mạnh hơn, thiết lập xác thực đa yếu tố dùng phương thức dựa trên ứng dụng hoặc phần cứng thay vì SMS. Cách này gắn mã xác thực với thiết bị của bạn thay vì số điện thoại, khiến kẻ tấn công khó chặn hơn nhiều.

Làm sao bảo vệ số điện thoại lâu dài?

Để bảo vệ số điện thoại về lâu dài, mục tiêu là giảm nơi số của bạn bị hiển thị và thu hẹp vai trò của nó trong bảo mật tài khoản. Không có giải pháp một lần cho tất cả; bạn có thể cần thực hiện vài lần trong năm.

Bắt đầu bằng cách xóa số khỏi nơi nó được liệt kê trực tuyến: tài khoản mạng xã hội và thư mục doanh nghiệp. Bạn cũng nên từ chối (opt-out) khỏi các trang môi giới dữ liệu, hoặc làm thủ công bằng cách gửi yêu cầu loại bỏ, hoặc dùng dịch vụ như DeleteMe.

Sau đó, liệt kê các tài khoản dùng số điện thoại để khôi phục và chuyển chúng sang xác thực bằng ứng dụng.

Để tăng thêm một lớp bảo vệ, bạn có thể dùng một số phụ trả trước với SIM hoặc dịch vụ VoIP khi đăng ký ứng dụng giao đồ ăn và các tài khoản bán lẻ. Đây là số bạn có thể thay đổi dễ dàng nếu bị xâm phạm.

Thường xuyên rà soát cài đặt quyền riêng tư vì mặc định nền tảng có thể thay đổi sau bản cập nhật. Một trường hồ sơ từng ở chế độ riêng tư có thể trở nên công khai. Hiểu rõ thông tin ai đó có thể lấy từ số điện thoại giúp bạn quyết định nên khoá mục nào và nên xóa mục nào hoàn toàn. Việc này chỉ mất khoảng 10 phút mỗi quý nhưng sẽ tránh được nhiều rắc rối về sau. Hãy cân nhắc dùng giải pháp bảo mật toàn diện như Kaspersky Premium để theo dõi rò rỉ dữ liệu liên quan đến thông tin cá nhân của bạn, bao gồm số điện thoại.

Bài viết liên quan:

• Làm thế nào để ngăn chặn hiệu quả các cuộc tấn công hoán đổi SIM?
• Làm sao bảo vệ bản thân khỏi lừa đảo qua điện thoại di động?
• Nguy cơ từ các cuộc tấn công Smishing là gì và cách phòng tránh?
• Làm sao nâng cao bảo mật điện thoại di động ngay hôm nay?

Sản phẩm đề xuất:

• Kaspersky Premium
• Tải bản dùng thử Premium miễn phí 30 ngày

Câu hỏi thường gặp

Ai đó có thể theo dõi vị trí của tôi chỉ bằng số điện thoại không?

Không. Việc theo dõi vị trí qua số điện thoại đòi hỏi quyền truy cập vào hạ tầng của nhà mạng hoặc phải cài phần mềm gián điệp trên thiết bị của bạn. Việc theo dõi vị trí chỉ được phép cho cơ quan thực thi pháp luật khi có lệnh. Có các trang web lừa đảo chào bán dịch vụ theo dõi theo số điện thoại; hầu như luôn là bẫy phishing hoặc lừa đảo.

Ai đó có thể truy cập tài khoản ngân hàng của tôi chỉ bằng số điện thoại không?

Một mình số điện thoại không đủ để truy cập tài khoản ngân hàng. Tuy nhiên, nếu nó kết hợp với thông tin cá nhân khác, có thể được dùng để thực hiện hoán đổi SIM. Điều đó cho phép kẻ tấn công chặn các mã xác thực SMS và có khả năng truy cập tài khoản của bạn.

Tôi có nên đổi số điện thoại sau khi bị đánh cắp danh tính không?

Không nhất thiết; chỉ nên đổi số nếu bạn là nạn nhân của hoán đổi SIM hoặc bị quấy rối. Hầu hết lỗ hổng được khắc phục bằng cách bảo vệ tài khoản nhà mạng, nâng cấp xác thực, và đóng băng tín dụng. Các bước khôi phục sau đánh cắp danh tính của FTC có thể giúp bạn quyết định.