Nhiều dịch vụ kỹ thuật số đã chuyển sang sử dụng liên kết đăng nhập (sign-in links) gửi trực tiếp qua tin nhắn SMS. Quy trình này cực kỳ đơn giản: bạn nhập số điện thoại, nhận một tin nhắn, nhấn vào đường link và bạn đã vào được tài khoản. Tuy nhiên, chính sự tinh giản này lại đang tạo ra một lỗ hổng bảo mật quy mô lớn.

Theo báo cáo từ các nhà nghiên cứu bảo mật được TechRadar trích dẫn, sau khi phân tích hơn 33 triệu tin nhắn SMS, họ phát hiện ra ít nhất 177 dịch vụ kỹ thuật số đang đặt người dùng vào tình trạng nguy hiểm. Các dịch vụ này bao gồm từ nền tảng bảo hiểm, niêm yết việc làm cho đến các hệ thống giới thiệu cá nhân.

Vấn đề cốt lõi nằm ở chỗ các hệ thống xác thực này coi việc "sở hữu đường link" đồng nghĩa với "chủ sở hữu tài khoản" mà không cần thêm bất kỳ bước xác minh nào khác. Điều này có nghĩa là nếu một bên thứ ba vô tình hoặc cố ý có được đường link đó, họ sẽ toàn quyền kiểm soát dữ liệu cá nhân của bạn mà không cần mật khẩu.

Những lỗ hổng trong cấu trúc URL

Nghiên cứu chỉ ra rằng rủi ro không chỉ đến từ việc tin nhắn bị chặn thu trái phép, mà còn đến từ chính cách các doanh nghiệp thiết kế và tạo ra những đường link này. Có ba sai lầm kỹ thuật nghiêm trọng đang tồn tại:

Thứ nhất, độ phức tạp của mã xác thực (token) quá thấp. Trong số các dịch vụ được khảo sát, có tới 125 dịch vụ sử dụng các đoạn mã dễ đoán theo quy luật tuần tự. Tin tặc có thể sử dụng các thuật toán đơn giản để "dò" ra các đường link hợp lệ của người dùng khác bằng cách thay đổi một vài ký tự ở cuối URL. Đây là hình thức tấn công vét cạn (brute-force) nhắm thẳng vào cấu trúc URL yếu kém.

Thứ hai, thời gian tồn tại của liên kết quá dài. Thay vì hết hạn sau vài phút như mã OTP thông thường, nhiều liên kết đăng nhập qua SMS vẫn giữ nguyên hiệu lực trong nhiều tháng, thậm chí là vài năm. Điều này tạo ra một "cửa sổ tấn công" khổng lồ, cho phép kẻ xấu truy cập lại tài khoản bất cứ lúc nào nếu chúng thu thập được dữ liệu cũ từ các bản sao lưu hoặc kho lưu trữ tin nhắn rò rỉ.

Thứ ba, tình trạng "truy xuất dữ liệu thừa". Đây là chi tiết đáng báo động nhất: Khi người dùng nhấn vào link, hệ thống không chỉ đăng nhập mà còn tự động tải về một lượng lớn thông tin nhạy cảm như ngày sinh, chi tiết ngân hàng và hồ sơ tín dụng phía sau giao diện, ngay cả khi người dùng không nhìn thấy chúng trên màn hình. Kẻ tấn công chỉ cần bắt được gói tin này là có thể thu thập toàn bộ nhân thân của nạn nhân.

Tại sao SMS vẫn là "vùng trũng" bảo mật?

Dù công nghệ bảo mật đã tiến xa với sinh trắc học và khóa bảo mật vật lý, SMS vẫn tồn tại như một phương thức xác thực phổ biến nhờ tính tương thích cao trên mọi dòng điện thoại. Tuy nhiên, về bản chất, giao thức SMS hoàn toàn không được mã hóa đầu cuối.

Dữ liệu tin nhắn đi qua hạ tầng của các nhà mạng và có thể bị lưu trữ trong các cơ sở dữ liệu kém an toàn. Thực tế đã ghi nhận nhiều trường hợp các kho lưu trữ tin nhắn SMS cũ bị rò rỉ trên mạng, vô tình biến chúng thành một "kho báu" chứa đầy các liên kết đăng nhập vẫn còn hiệu lực.

Ngoài ra, các cuộc tấn công hoán đổi SIM hoặc khai thác lỗ hổng giao thức SS7 vẫn là những mối đe dọa thường trực. Chỉ cần chiếm quyền kiểm soát số điện thoại trong chốc lát, kẻ tấn công có thể yêu cầu gửi link đăng nhập và dễ dàng thâm nhập vào hàng loạt tài khoản liên kết của nạn nhân mà không để lại dấu vết.

Lời khuyên thực tế

Trước thực trạng này, các chuyên gia bảo mật khuyến cáo người dùng và doanh nghiệp cần chủ động thay đổi tư duy để tự bảo vệ mình. 

Chuyển đổi phương thức xác thực (MFA): Theo các chuyên gia, bạn hãy ưu tiên các ứng dụng tạo mã (như Google Authenticator, Microsoft Authenticator) hoặc khóa bảo mật vật lý (YubiKey). Các phương thức này tạo mã cục bộ trên thiết bị, không phụ thuộc vào đường link URL dễ bị dò tìm hay đánh chặn.

Cảnh giác với yêu cầu không mong muốn: Tuyệt đối không nhấn vào bất kỳ liên kết đăng nhập nào gửi qua SMS nếu bạn không phải là người vừa thực hiện yêu cầu đó. Nhiều liên kết này có thể là cái bẫy "truy xuất thừa" để thu thập thông tin ngay khi bạn vừa click.

Rà soát và xóa tin nhắn cũ: Do các liên kết có thể tồn tại tới vài năm, hãy định kỳ xóa các tin nhắn chứa mã xác thực hoặc link đăng nhập cũ để tránh rủi ro khi điện thoại bị thất lạc hoặc dữ liệu sao lưu đám mây bị xâm nhập.