Lượt xem: 37616 | Gửi lúc: 17/09/2012 15:02:34
Bookmark and Share

Dịch vụ giả số điện thoại: Lợi và hại

Gần đây, trên các phương tiện thông tin đại chúng có đưa thông tin cảnh báo về khả năng giả số điện thoại gọi đến. Tuy nhiên, chỉ có một số ít người biết rằng thực ra công nghệ giả số điện thoại (hay còn gọi là mạo danh số điện thoại) đã xuất hiện từ khi hệ thống điện thoại có tính năng hiển thị số gọi đến (Caller ID).

Khi người dùng có nhu cầu gọi đi nhưng muốn giấu số điện thoại của mình, hay muốn “ảo” thành một số điện thoại khác thì có thể gọi vào tổng đài dịch vụ và chọn các chức năng tương ứng với loại số muốn thay đổi rồi mới nhập số cần gọi. Khi đó số điện thoại xuất hiện trên màn hình người bị gọi, nó sẽ được “ảo” theo đúng chức năng người gọi đã chọn. Như vậy, có thể thấy dịch vụ giả số điện thoại có thể bị lợi dụng để lừa đảo và gây hại.

Thời kỳ đầu, việc giả số điện thoại gọi đến được thực hiện bởi những tổ chức có khả năng truy cập các đường dây PRI (Primary Rate Interface) đắt tiền mà các công ty điện thoại cung cấp. Công nghệ này được dùng chủ yếu để hiển thị số điện thoại chính của một doanh nghiệp trên mọi cuộc gọi đi. Từ đầu những năm 2000, những “phone phreak” hay gọi tắt là phreak (chuyên gia tấn công các hệ thống điện thoại) bắt đầu sử dụng công nghệ Orange boxing để giả số điện thoại. Thực chất của cách làm này là dùng một thiết bị (thường là một phần mềm trên máy tính) để gửi một chuỗi các tín hiệu đa tần (tone) trong những giây đầu tiên của cuộc gọi, giả làm tín hiệu báo số gọi đến của điện thoại. Các cách làm này rất thô sơ và không chắc chắn vì phải thực hiện trong một khoảng thời gian rất ngắn.
Đầu 2004, các phreak bắt đầu khám phá VoiceXML hay VXML, một nền tảng ứng dụng thoại mới. Các ứng dụng VoiceXML có thể được tạo ra một cách dễ dàng để bắt chước các tổng đài PBX thông thường và có thể giúp người dùng thay đổi Caller ID. Tiếp đó, sự phát triển của VoIP (Voice over IP) đã giúp cho việc giả Caller ID trở nên dễ dàng hơn. Một số phreak khác lại phát hiện khả năng sử dụng phần mềm PBX nguồn mở Asterisk để thay đổi Caller ID.
Tháng 9/2004, Star38.com – dịch vụ giả số điện thoại qua giao diện web đầu tiên được khai trương tại Mỹ. Tháng 10/2004, chuyên gia Kevin Poulsen của SecurityFocus.com đưa ra thông báo về Camophone - dịch vụ giả số điện thoại đầu tiên cung cấp cho tất cả mọi khách hàng có nhu cầu. Kể từ đó, rất nhiều công ty cung cấp dịch vụ giả số điện thoại xuất hiện tại Mỹ. Các dịch vụ tương tự cũng nhanh chóng xuất hiện ở châu Âu, mặc dù không phổ biến bằng. Các công ty đó liên tục cung cấp các tính năng mới để cạnh tranh. Chẳng hạn như, SpoofCard là dịch vụ đầu tiên cung cấp tính năng ghi cuộc gọi miễn phí và tính năng thay đổi giọng nói để người gọi có thể giả giọng nam/nữ tùy ý. SpoofCard còn tiên phong trong việc cung cấp dịch vụ dùng thử miễn phí trong 2 phút trên website. Spoofem thì cho phép người dùng giả mạo cả tin nhắn SMS và email. Với sự phát triển của các dòng điện thoại cao cấp, người dùng có thể tải xuống các ứng dụng để giả số điện thoại từ iPhone, Blackberry và Droid. Tháng 2/2009, công ty tạo ra SpoofCard còn cung cấp một dịch vụ đột phá có tên là TrapCall. TrapCall làm lộ mọi số điện thoại gọi đến, dù người gọi đã sử dụng chức năng cấm hiển thị số. Dịch vụ này khiến cho người dùng chỉ có cách giả số điện thoại nếu muốn giấu số
Ngày nay, các dịch vụ giả số điện thoại trên thế giới phổ biến đến mức nếu vào Googe để tìm kiếm cụm từ “caller ID spoofing”, ta có thể thu được khoảng 200 ngàn kết quả. Tại Mỹ, có thể dễ dàng mua các thẻ trả trước với giá khoảng 10 đôla cho 60 phút gọi. Ở Việt Nam, tình hình cũng rất khó kiểm soát vì cách thức đăng ký sử dụng dịch vụ chuyển tiếp cuộc gọi khá dễ dàng. Với mạng Viettel, người dùng có thể đăng ký qua cú pháp tin nhắn. Còn với mạng Vietnamobile, dịch vụ đã được tích hợp sẵn trên sim điện thoại, người sử dụng chỉ việc kích hoạt. Cách đăng ký của các mạng đều không đòi hỏi người dùng phải xác thực số thuê bao được chuyển tiếp, tức là người dùng có thể chọn bất kỳ số điện thoại di động nào miễn là nó đang hoạt động. Ngoài ra, còn có một loại hình dịch vụ mang tên “ảo hóa số điện thoại” do tổng đài 1900599916 cung cấp cũng dựa trên nguyên tắc chuyển tiếp cuộc gọi như dịch vụ của các nhà mạng. Cụ thể, khi người dùng có nhu cầu gọi đi nhưng muốn giấu số điện thoại của mình, hay muốn “ảo” thành một số điện thoại khác (có thể là số cố định, số di động khác) có thể gọi vào tổng đài trên và chọn các chức năng tương ứng với loại số muốn thay đổi rồi mới nhập số cần gọi. Khi đó số điện thoại xuất hiện trên màn hình người bị gọi, nó sẽ được “ảo” theo đúng chức năng người gọi đã chọn. Như vậy, có thể thấy dịch vụ giả số điện thoại có thể bị lợi dụng để lừa đảo và gây hại cho nhiều người. Tuy nhiên, vẫn có những lý do chính đáng cho việc sử dụng dịch vụ giả số điện thoại, ví dụ như:
- Các công ty lớn với nhiều chi nhánh có thể mong muốn hiển thị một số điện thoại duy nhất cho các cuộc gọi tới khách hàng.
- Một công ty sử dụng số điện thoại miễn phí cho khách gọi đến (kiểu tổng đài 1800) có thể muốn hiển thị số điện thoại đó khi gọi cho khách hàng từ các số khác.
- Các tổng đài dịch vụ khách hàng cung cấp dịch vụ cho nhiều doanh nghiệp khác nhau sẽ muốn hiển thị số điện thoại của từng doanh nghiệp cụ thể khi gọi cho khách hàng của doanh nghiệp đó.
- Chủ các doanh nghiệp muốn hiển thị số điện thoại của văn phòng mỗi khi gọi từ nhà riêng hay điện thoại di động để tránh lộ số điện thoại cá nhân.
- Người dùng Skype dùng số giả để tránh việc bị chặn....
Đến nay, việc quản lý và kiểm soát dịch vụ giả số điện thoại còn gặp rất nhiều vướng mắc. Ngay tại Mỹ, sau rất nhiều nỗ lực của các cơ quan lập pháp, rất nhiều dự luật cấm giả số điện thoại được đệ trình nhưng chưa có dự luật nào được thông qua. Khoảng trống về pháp lý này đặt ra rất nhiều thách thức về an toàn thông tin. Trước đây, các công ty thông tin di động thường cho phép truy cập hộp thư thoại một cách tự do, thông qua số điện thoại của chủ thuê bao. Sau này, nhiều công ty đã bổ sung việc kiểm tra mật khẩu cho mọi yêu cầu truy cập hộp thư thoại. Tuy nhiên, vẫn còn có rất nhiều lỗ hổng khác cần xử lý. Chẳng hạn như: lợi dụng việc các tổ chức phát hành thẻ tín dụng thường yêu cầu chủ thẻ gọi từ điện thoại nhà riêng để kích hoạt thẻ, những kẻ ăn cắp thẻ tín dụng mới phát hành có thể sử dụng dịch vụ giả số điện thoại để mạo danh. Vì vậy, một số tổ chức phát hành thẻ tín dụng đã yêu cầu chủ thẻ cung cấp một vài thông tin bổ sung trước khi kích hoạt thẻ, nhằm phòng chống được thủ đoạn đó. Nhưng với những công việc chưa có quy trình cụ thể, nhân viên không được giáo dục tinh thần cảnh giác thì hoàn toàn có thể bị tin tặc lợi dụng. Chẳng hạn, ít khi nhân viên hỗ trợ kỹ thuật đủ bình tĩnh và tỉnh táo khi nhận được ý kiến chỉ đạo từ số điện thoại của cấp trên, yêu cầu đặt lại mật khẩu hay dỡ bỏ các rào chắn bảo mật. Ở Mỹ, dù các nhà cung cấp dịch vụ giả số điện thoại luôn lưu giữ thông tin về mọi cuộc gọi và sẽ nộp cho tòa án và các cơ quan pháp luật khi có yêu cầu, nhưng điều đó không đảm bảo phát hiện mọi hành vi phi pháp. Mặt khác, trên lý thuyết thì các nhà cung cấp dịch vụ điện thoại có thể truy ra số điện thoại thực của mọi cuộc gọi, nhưng quá trình đó quá phức tạp, trong khi các cuộc gọi có thể “chu du” qua rất nhiều mạng khác nhau trước khi tới đích. Do đó, chúng ta không nên hy vọng nhiều vào sự trợ giúp của các nhà cung cấp.

Trong khi chờ đến khi có những quy định pháp lý chặt chẽ hơn, hay những tiến bộ về công nghệ cho phép kiểm soát hiệu quả các dịch vụ giả số điện thoại, các tổ chức cũng như mọi người dùng phải chủ động rà soát lại hệ thống an ninh của mình, dựa trên nguyên tắc cơ bản là không thể tin tưởng hay dùng số điện thoại gọi đến làm căn cứ xác thực.

ThS. Nguyễn Anh Tuấn - Trung tâm CNTT, Ngân hàng Công thương Việt Nam