Làm sao hacker gửi SMS giả dạng ACB được?

Dẫn nhập

Tôi, với tư cách là cựu CEO VHT, một trong những Công ty làm Brand Name SMS rất sớm ở Việt Nam, từ 2007. Muốn chia sẻ với các bạn một chút về nguyên lý vụ lừa đảo bằng Brand Name SMS của ngân hàng khá là rầm rộ hôm qua, ngày 4/2.

Thông thường, một tin nhắn gửi đến cho điện thoại của bạn sẽ hiển thị một dãy số, ví dụ +849XXXXXXXX. Từ nhiều năm trước, đã có thể gửi bằng một chuỗi ký tự (chữ) thay vì số và dịch vụ đó gọi là Brand Name SMS (hay Branded SMS, Brandname SMS).

Ngày chúng tôi kinh doanh dịch vụ này, có một sự thật buồn cười đó là chúng tôi mua dịch vụ của một công ty ở… Singapore chứ không phải mua từ các nhà mạng viễn thông trong nước như Viettel, Mobifone, Vinaphone…

Công ty mà chúng tôi mua dịch vụ Brand Name SMS ở Singapore tên là Sybase 365, công ty này được SAP mua lại vào năm 2010 và đến năm 2014 thì ngưng sử dụng tên gọi Sybase này.

Vì sao gửi cho thuê bao trong nước lại đi mua dịch vụ từ nước ngoài?

Nói không ngoa rằng, chúng tôi là người làm Brand Name SMS trước nhà mạng. Khi ấy, chúng tôi toàn quyền khởi tạo Brand Name, muốn tạo Brand Name gì cũng được (ACB, Nike hay Adidas thậm chí tên của chính trị gia) và thoải mái gửi đến cho thuê bao trong nước mà không qua bất cứ kiểm duyệt nào.

Công cụ chỉ là công cụ. Dùng với mục đích tốt hay xấu là do người dùng.

Tầm 8-9 năm trước, có một sự dịch chuyển rất rất buồn cười của nhà mạng: Nhằm ngăn chặn tin nhắn rác, mấy ông nhà mạng đã đưa ra quyết định cấm tất cả luồng Brand Name SMS từ nước ngoài. Xong lập ra các phòng ban ngồi duyệt từng hồ sơ, từng Brand Name, từng nội dung tin nhắn muốn gửi…

Vì sao tôi gọi đây là hành động trò hề của nhà mạng:

1. Tin nhắn rác đến từ SIM rác chứ không phải từ Brand Name SMS vì chi phí gửi SMS từ SIM rác rẻ hơn rác còn chi phí gửi Brand Name SMS mắc chết mẹ. Ai điên mà đi spam bằng Brand Name SMS hử các ông? Các ông biết vì sao SIM rẻ và nhan nhản không? Do các ông (nhà mạng) làm nát thị trường chứ đâu. Thằng này làm, đem thằng kia ra chịu. Quý vị có thấy nó giống trò hề không?

2. Các ông kiểm soát các công ty ở VN còn các đơn vị nước ngoài gửi thẳng về VN thì các ông đếch cấm được.

3. Các ông nghĩ ra cái chính sách chỉ để làm khó người ngay còn kẻ gian vẫn nhởn nhơ.

Dẫn nhập chút xíu cho bà con biết. Giờ quay lại vụ lừa đảo hôm qua.

Ở Việt Nam, muốn đăng ký Brand Name là ACB hay Apple hay Pepsi gì gì thì quý vị phải nộp một số giấy tờ để chứng minh quý vị là người sở hữu thương hiệu này. Tuy nhiên vụ này cũng rất buồn cười và dễ lách. Ví dụ nhé – và chỉ là ví dụ thôi nha – công ty thì tên là Trà Cà Phê VN nhưng thương hiệu là The Coffee House* thì làm sao dùng GPKD Trà Cà Phê VN đi đăng ký Brand The Coffee House được. Thế là chứng minh rằng tôi đang sở hữu domain thecoffeehouse.xxx là được.

Trớ trêu thay, bỏ ra một hai trăm ngàn là sở hữu được một domain rồi. Vậy một công ty ma, mua domain RapViet.xxx là có thể đăng ký Brand Name RAPVIET đi lừa đảo bán vé???

Có một vài công ty SMS lớn trên thế giới như Clickatell, Nexmo, Infobip… ban đầu cũng thoải mái gửi Brand Name SMS về thuê bao ở Việt Nam nhưng sau cũng bị chặn và phải thành lập công ty ở VN hoặc hợp tác với các công ty ở VN để đăng ký được Brand Name cho họ. Tuy nhiên do đây là họ làm ăn đàng hoàng. Chứ kẻ xấu thì chả ai đi đúng như vậy mà nó cứ phang đại thôi.

Trong một bài phân tích trên Zing, có một vài nguyên nhân cho vụ lừa đảo kia như là:

1. SMS bị hack trên đường đi từ công ty SMS đến nhà mạng hoặc từ nhà mạng xuống thuê bao.

2. Hacker tấn công các công ty cung cấp Brand Name SMS.

3. Kẻ xấu, chả cần là hacker mẹ gì hết, mua dịch vụ từ nước ngoài.

Trong thế giới CNTT, không gì là tuyệt đối. Bảo mật là một thứ xa xỉ. Đến Google / Facebook / Microsoft còn bị hack nữa là. Cho nên, mọi xác suất trên đều có thể xảy ra.

*Tôi chỉ lấy ví dụ chứ Brand Name chỉ cho tối đa 11 ký tự. Không có chuyện đăng ký được cái tên dài như The Coffee House.

Ghi chú: Bài viết này từ FB của anh Vũ Hoàng Tâm

Leave a Reply

Your email address will not be published. Required fields are marked *