Thời gian qua, người dùng ở nhiều khu vực tại Việt Nam nhận được tin nhắn chứa brandname mạo danh ngân hàng, hoặc có nội dung khiêu dâm từ người gửi được đặt tên như "lam tinh", "len dinh", "tinh mot dem".
Theo Cục An toàn thông tin - Bộ Thông tin và Truyền thông, đây là tin nhắn lừa đảo, dụ người dùng truy cập đường link để cài phần mềm độc hại hoặc đánh cắp thông tin tài khoản. Để gửi tin nhắn brandname đến người dùng, thủ đoạn chung của kẻ gian là tạo ra một trạm phát sóng BTS giả.
Trạm BTS giả hoạt động thế nào?
Theo điều tra từ các nhà mạng, trong hầu hết vụ phát tán tin nhắn bằng BTS giả ở Việt Nam, kẻ tấn công lợi dụng cơ chế bảo mật yếu của mạng 2G (GSM), vốn không yêu cầu xác thực trạm BTS với thiết bị đầu cuối, cùng cơ chế hoạt động của điện thoại là luôn kết nối đến trạm có sóng mạnh nhất.
Từ hai yếu tố này, kẻ xấu có thể thực hiện cuộc tấn công trung gian (Machine in the Middle - MitM) bằng cách đặt BTS giả xen vào giữa kết nối của điện thoại và trạm BTS thật.
Hệ thống được sử dụng bao gồm một modem hỗ trợ cả băng tần 2G và 4G trùng với băng tần của nhà mạng Việt Nam, ăng-ten và nguồn. Việc điều khiển và phát tán tin nhắn được thực hiện qua phần mềm chuyên dụng trên máy tính.
Các bước chính của quá trình này là: giả trạm BTS của nhà mạng, lấy thông tin thiết bị và thuê bao, sau đó gửi tin nhắn SMS. Trong bối cảnh kết nối 4G đã trở nên phổ biến, việc tấn công có thêm một bước là hạ cấp giao thức từ 4G xuống 2G.
Đầu tiên, kẻ gian mang bộ thiết bị đến khu vực mục tiêu, chọn tần số giống với của các mạng di động trong nước, ví dụ 1.800 Mhz cho 4G, hay 900 Mhz cho 2G. Thiết bị được điều chỉnh cường độ phát sóng mạnh để "lừa" các điện thoại kết nối vào. Theo cơ chế, toàn bộ điện thoại trong khu vực phủ sóng sẽ gửi các gói thông tin gồm IMSI (mã nhận dạng thuê bao) và IMEI (mã nhận dạng thiết bị), cùng một số yêu cầu cập nhật thông tin từ trạm.
BTS giả khi này sẽ thu thập các thông tin trên, đồng thời phản hồi bằng tín hiệu báo không cho kết nối 4G, hoặc làm nhiễu tín hiệu 3G, 4G xung quanh. Điều này khiến điện thoại tự chuyển xuống kết nối 2G vào trạm BTS giả. 2G là mạng thế hệ cũ, bảo mật kém, nên kẻ gian có thể thực hiện tác vụ trái phép, như gửi tin nhắn brandname đến các thuê bao, hoặc chặn kết nối, theo dõi vị trí.
"Thiết bị có thể được đưa lên ôtô hoặc xe máy để di chuyển và phát tán tin nhắn tới thuê bao lọt vào vùng phủ sóng. Mỗi thiết bị BTS giả có thể phát tán 70.000 tin nhắn mỗi ngày", đại diện Cục An toàn thông tin cho biết.
Vì sao khó phát hiện?
Sau khi lấy được thông tin IMSI, IMEI của điện thoại, trạm BTS giả sẽ chuyển tiếp đến trạm BTS của nhà mạng để kết nối và xác thực. Người dùng không hề nhận ra thiết bị của mình bị gián đoạn trong thời gian ngắn.
Theo tổ chức Electronic Frontier, trạm giả thực tế vẫn để lại dấu vết có thể phát hiện, ví dụ công suất phát cao bất thường, tín hiệu không đầy đủ thông số như trạm gốc, hoặc xuất hiện thời gian ngắn tại vị trí nào đó. Một số vụ liên quan đến dùng trạm phát sóng giả cũng đã được phát hiện thời gian qua.
Tuy nhiên, BTS giả cũng có thể bị nhầm lẫn với trạm BTS lưu động, trạm thử nghiệm của nhà mạng. Ngoài ra, với kích thước nhỏ, công nghệ ngày càng tinh vi, trạm này có thể được đặt trên xe và di chuyển liên tục, khiến việc tìm ra khó khăn nếu cơ quan quản lý không có các hệ thống theo dõi liên tục.
Các thành phần của trạm BTS giả cũng không lưu hành tại Việt Nam nếu không có giấy phép. Tuy nhiên theo một số chuyên gia an ninh mạng, chúng có vẫn có thể được mua lậu trên các trang thương mại điện tử nước ngoài dưới dạng linh kiện rời rồi lắp ráp, với tổng chi phí vài trăm triệu đồng.
Cục An toàn thông tin khuyến cáo người dùng tuyệt đối không mở đường link, liên kết trong tin nhắn lạ, không rõ nguồn gốc, không đăng nhập tài khoản cá nhân vào những địa chỉ này.