Bảo mật hay tiện lợi?
Từ những năm đầu tiên khi Internet mới được đưa vào sử dụng tại Việt Nam, mạng nhắn tin ICQ đã nhanh chóng trở nên quen thuộc với nhiều người vì họ có thể liên lạc với người thân qua tin nhắn miễn phí. Cái lợi của dịch vụ này là chỉ cần một tài khoản nhắn tin đăng nhập trên máy tính có kết nối mạng là bạn có thể gửi tối đa 20 tin nhắn miễn phí một ngày tới phần lớn các mạng di động trên thế giới (bao gồm cả VinaPhone, MobiFone lúc bấy giờ). Đây quả thật là dịch vụ tiện lợi và kinh tế vì phí nhắn tin lúc bấy giờ là 500 đồng/tin, còn nếu nhắn qua điện thoại cố định thì vừa bị lộ nội dung với nhân viên tổng đài, vừa mất phí cao. Song, sẽ chẳng có gì đáng nói nếu đến một ngày xấu trời, hàng loạt thuê bao mạng di động trong nước bị bom tin nhắn với số lượng lên đến hàng trăm tin. Đáng buồn hơn, nội dung tin nhắn còn bao gồm những lời lẽ tục tĩu, bẩn thỉu. Không thể truy ra dấu vết các tin nhắn này, vì ngoài dòng chữ "Powered by ICQ" ở phía cuối mỗi tin nhắn thì ID người gửi chỉ là dãy số tổng đài của mạng ICQ lúc ở Anh, lúc ở Pháp, có lúc lại là Mỹ. Ngay sau đó, các nhà cung cấp dịch vụ đã vào cuộc và mọi cổng thông từ hệ thống ICQ tới mạng di động Việt Nam đều bị chặn đứng, không một tin nhắn nào có thể gửi đi từ đây nữa.
"Đột kích SMS" - người sử dụng hoang mang
Mối lo tạm qua đi, rồi một ngày kia, lại liên tiếp những tin nhắn mang nội dung "Nhân dịp kỷ niệm VinaPhone đạt 2 triệu thuê bao, hãy nhắn 20 tin này đến 20 người bạn để nhận 100 nghìn đồng vào tài khoản" Nghiêm trọng hơn, ID người gửi là giả mạo số từ tổng đài Vinaphone: +999. Đương nhiên, hậu quả là một "cơn mưa tin nhắn" gây nghẽn mạch cục bộ và những khách hàng bị lừa thì bị trừ tiền… "đau thương". Mới đây, website của MobiFone cũng phải đưa ra cảnh báo về loạt tin nhắn mạo danh số máy tổng đài với nội dung tương tự gây thiệt hại cho khách hàng và làm giảm uy tín của nhà cung cấp dịch vụ. Và gần đây, các nhà cung cấp dịch vụ cũng cho phép thuê bao gửi/nhận tin nhắn từ chính chương trình Yahoo Messenger nổi tiếng. Vậy có gì đảm bảo rằng, sẽ không có kẻ đăng ký những user ảo tại Yahoo để thực hiện những vụ "đột kích SMS" vào các thuê bao mạng di động?
Có một chuyện bi hài là trong dịp 8-3 vừa qua, các thuê bao mạng Viettel nhận được tin nhắn thông báo được "miễn phí 20 tin nhắn nhân ngày Quốc tế phụ nữ", nhưng một sự cố tổng đài đã khiến nội dung trên được gửi đến 3 lần liền từ số +189. Kết quả là chẳng ai dám tin cũng như soạn tin nhắn chúc mừng gửi cho bạn bè mặc dù nội dung khuyến mãi trên có thực. Trên thực tế, việc làm giả tin nhắn không quá khó khăn, chỉ cần thông đến một máy chủ nhắn tin đã được nhà cung cấp dịch vụ cho phép kết nối trực tiếp đến hệ thống mạng lưới. Do đó, một khi hệ thống máy chủ bảo mật kém hoặc do chủ của chúng cố tình để ngỏ cho sử dụng miễn phí thì sự xuất hiện những tin nhắn nặc danh là điều khó tránh khỏi.
Hậu họa khó lường
Khả năng bảo mật yếu tại các trang trực tuyến của nhà cung cấp dịch vụ cũng là một yếu tố dẫn tới tình trạng xuất hiện tin nhắn ma. Cách đây 4 tháng, chính MobiFone cũng phải thừa nhận website mobifone.com.vn của mình có vấn đề và yêu cầu tất cả khách hàng đổi thông tin cá nhân đăng ký trên website. Những tin tặc với trình độ nhất định đã có thể xâm nhập vào trang quản trị, chiếm quyền admin, sử dụng tài khoản của chính khách hàng và nhắn tin nội mạng bằng chính số điện thoại của khách hàng đó. Quả là một cú sốc nếu một ngày kia, người thân, bạn bè của bạn nhận được tin nhắn từ chính số máy của bạn gửi tới với nội dung nhạy cảm. Lúc đó, liệu bạn có đủ sức thanh minh?
Đôi khi, chính hệ thống lại lộ rõ sơ hở khi cho phép khôi phục mật khẩu tài khoản mà khách hàng đăng ký trên web như trường hợp của MobiFone. Điều này cũng đồng nghĩa với việc những người lạ nhân lúc bạn sơ hở có thể khôi phục lại mật khẩu qua hệ thống trợ giúp. Và đương nhiên, sau đó họ có quyền thâm nhập bất kỳ thông tin nào, từ việc xem chi tiết cuộc gọi đi, xem cước, cho đến việc dùng chính số máy của bạn để nhắn tin sang các máy khác!
Trong quá trình thu thập tư liệu viết bài, chúng tôi đã thử dùng chức năng khôi phục mật khẩu tại website
mobifone.com.vn và nhận thấy, chỉ cần điền đúng số máy đang sử dụng và để ngày tháng năm sinh bất kỳ, không cần trùng với dữ liệu đã đăng ký là vượt qua được một tầng của hệ thống xác thực. Chỉ đến khi vào lớp thứ 2 mới gặp chút khó khăn vì hệ thống đòi hỏi việc xác thực bằng một thông tin cá nhân. Còn với VinaPhone, mọi chuyện dễ dàng hơn rất nhiều với việc chỉ cần soạn tin nhắn cú pháp MK Vinaportal gửi đến số 333, hệ thống sẽ tự động gửi trả mật khẩu về máy. Ngoài một số vấn đề vừa nêu, hầu hết các website cổng thông tin điện tử của các nhà cung cấp dịch vụ đều lập trình dựa trên ngôn ngữ Java. Hệ thống cổng thông tin điện tử của MobiFone là tương đối hoàn hảo, còn VinaPhone sau khi nâng cấp cũng đã có độ tin cậy khá cao, do đó, ít nhiều tránh được những phi vụ đột nhập vào cơ sở dữ liệu của hệ thống.Tác giả bài viết cũng đã tiến hành một cuộc thử nghiệm "nho nhỏ" bằng cách nhắn tin từ một máy chủ trong nước tới số máy người phụ trách nội dung của một tờ báo. Người này sau đó đã không thể tin nổi vào mắt mình khi nhìn thấy tin nhắn do chính máy di động của mình gửi đến, với nội dung thông báo về việc số SIM đó đã bị "chiếm đoạt" (thực chất, tin nhắn đó là do tác giả đã mạo danh).
Năm 2006 được đánh giá là năm bùng nổ của hệ thống tổng đài tin nhắn. Hằng hà sa số nhà cung cấp dịch vụ ra đời đồng nghĩa với việc gia tăng những mối lo về các cuộc tấn công của những tin nhắn ma. Đó là chưa kể những tin nhắn thông báo trúng thưởng SMS game hoặc thông báo cộng thêm tiền vào tài khoản cũng có thể bị làm giả, gây hoang mang hoặc hiểu lầm cho các khách hàng.
Thiết nghĩ, ngoài những biện pháp chặn những hệ thống máy chủ nhắn tin từ nước ngoài, khách hàng cũng nên nâng cao ý thức cảnh giác. Trong khi đó, các nhà cung cấp dịch vụ cũng cần quan tâm nhiều hơn tới hệ thống của chính mình bởi ngay cả VinaPhone cũng đã từng thừa nhận việc chặn những hệ thống máy chủ nhắn tin bên ngoài là rất khó khăn.
(Theo eCHIP Mobile)