Search
Thứ 4, 07/10/2020, 07:54 AM

Bảo mật bằng OTP vẫn có thể bị chiếm tài khoản ngân hàng

(Tài chính) - Hacker có thể \\\"đọc trộm\\\" mã OTP trên smartphone, rồi thực hiện giao dịch trên một thiết bị khác mà người dùng không biết.

OTP (mật khẩu dùng một lần) gửi qua tin nhắn SMS là phương pháp xác thực bảo mật được sử dụng nhiều, nhất là trong những lĩnh vực như tài chính, . Chẳng hạn trong giao dịch chuyển tiền, dịch vụ sẽ yêu cầu người thực hiện nhập thêm mã OTP được gửi đến số điện thoại cá nhân để đảm bảo chính chủ thực hiện giao dịch. Dù là một bước trong quy trình bảo mật hai lớp, theo các chuyên gia bảo mật, OTP vẫn có thể bị hacker khai thác, đặc biệt là với người dùng smartphone.

"Trong năm qua, chúng tôi biết có nhiều vụ đánh cắp tài khoản ngân hàng mà hacker đã khai thác điểm yếu của công nghệ xác thực SMS OTP", ông Nguyễn Tử Quảng, CEO Bkav nói. Ông Quảng cho rằng, vụ tài khoản ngân hàng "bốc hơi" 406 triệu đồng mới đây cũng liên quan đến việc hacker khai thác các điểm yếu này.

Mã OTP được gửi về điện thoại qua SMS có thể bị hacker khai thác qua phần mềm gián điệp hoặc website mạo danh.

Xác thực giao dịch bằng SMS OTP là cách mà nhiều ngân hàng đang sử dụng hiện nay. Ảnh: Lưu Quý

Theo ông Quảng, hacker có ít nhất hai cách để lấy được mã OTP trong SMS của người dùng. Cách thứ nhất, hacker lừa nạn nhân nhập mã OTP vào một website giả mạo để chiếm mã; ngoài ra, chúng có thể lừa nạn nhân cài phần mềm gián điệp lên smartphone. Phần mềm gián điệp sẽ theo dõi tất cả thông tin, trong đó có tin nhắn SMS chứa mã OTP và các thông tin đăng nhập vào ứng dụng Mobile Banking. Với cả hai cách trên, hacker hoàn toàn có thể chiếm được mã OTP và thực hiện các giao dịch giả mạo.

Ông Quảng cho rằng điểm yếu lớn nhất của phương pháp SMS OTP là thiếu tính "chống chối bỏ", tạo kẽ hở để hacker thực hiện các giao dịch ngân hàng trên một thiết bị lạ.

Tính "chống chối bỏ" nghĩa là hệ thống không thể xác minh được ai đang thực hiện giao dịch. Ví dụ, nếu kẻ xấu dụ người dùng truy cập một trang chuyển tiền giả mạo, mọi thông tin người dùng nhập vào sẽ được chuyển tới kẻ xấu. Khi đó, chúng sẽ có thông tin đăng nhập và mã OTP để thực hiện giao dịch ở một thiết bị khác. Hệ thống không có khả năng xác định ai thực hiện giao dịch trên. Theo ông Nguyễn Văn Cường, Trưởng phòng An ninh mạng của Bkav, hiện nay, nhiều nước trên thế giới đã ứng dụng các phương pháp bảo mật có tính "chống chối bỏ" nhằm khắc phục kẽ hở này.

Ông Võ Đỗ Thắng, Giám đốc Trung tâm an ninh mạng Athena, người từng nhiều năm theo dõi tình hình an ninh mạng tại Việt Nam, cho biết việc tấn công tài khoản bằng cách khai thác mã OTP xảy ra khá thường xuyên thời gian qua, không chỉ ở Việt Nam mà trên toàn thế giới. Tuy nhiên, theo ông Thắng, yếu tố quyết định sự an toàn nằm ở người dùng chứ không phải phương pháp.

Ông cho rằng nguyên nhân chính của các vụ đánh cắp tài khoản đến từ sự chủ quan và thiếu kinh nghiệm tự bảo vệ của người dùng smartphone. Nhiều người thoải mái đăng nhập Wi-Fi công cộng, hoặc tải phần mềm gián điệp về máy mà không biết. Hacker hoàn toàn có thể khai thác thói quen này để lấy được mã OTP của người dùng. "Bảo mật hai lớp bằng OTP cũng sẽ trở nên kém an toàn nếu chúng ta sử dụng trên một thiết bị không an toàn", ông Thắng nói.

Trong việc khách hàng bị "bốc hơi" 406 triệu đồng trong tài khoản, đại diện Vietcombank cho biết "đây là trường hợp nghi ngờ bị giả mạo giao dịch qua ứng dụng VCB Digibank dẫn đến bị rút tiền trong tài khoản".

Tài khoản của khách hàng bị kích hoạt ứng dụng VCB Digibank trên thiết bị khác. Vietcombank dẫn xác nhận của nhà mạng cho thấy đã gửi tổng cộng 8 tin nhắn (4 tin xác thực và 4 tin biến động số dư) đến điện thoại khách hàng, trong khi người này không nhận được bất kỳ tin nhắn nào. Vụ việc này vẫn đang tiếp tục điều tra.

Theo các chuyên gia bảo mật, người dùng có thể tự phòng tránh các nguy cơ bị chiếm tài khoản bằng cách không click vào các link lạ, đặc biệt là khi thực hiện giao dịch tiền bạc. Người dùng không cài đặt ứng dụng lạ từ các nguồn không chính thống. Khi cài đặt phần mềm mới, không cung cấp quá nhiều quyền cho các ứng dụng, như đọc SMS, truy cập Internet... nếu không cần thiết. Ngoài ra, những người smartphone cũng nên sử dụng các phần mềm chống mã độc để bảo vệ thiết bị.

Chuyên gia bảo mật Nguyễn Văn Cường cho rằng, các dịch vụ, đặc biệt dịch vụ ngân hàng cần có cảnh báo đến người dùng khi phát hiện đăng nhập từ một thiết bị mới. Ngoài ra, các đơn vị này có thể ứng dụng phương pháp bảo mật bằng chữ ký số. "Chữ ký số" là một thiết bị cắm ngoài, hoặc nằm trên thiết bị nhưng định danh gắn liền với thiết bị đó. Ưu điểm của chữ ký số là xác định được nguồn gốc người gửi, do đó nó có tính chất "chống chối bỏ" và được pháp luật bảo hộ theo Nghị Định 130/2018/NĐ-CP.

Mặc dù phương pháp này phổ biến trên thế giới và hiện được nhiều lĩnh vực tại Việt Nam như Hải Quan, Bảo hiểm, Thuế, sử dụng, ông Cường cho biết phương pháp này hiện chưa được các ngân hàng phát triển vì một số rào cản về pháp lý khi dùng trên di động. Đồng thời chữ ký số còn bất tiện hơn so với OTP khi chuyển đổi giao dịch giữa các thiết bị khác nhau.


Tin khác

Giá vàng

Giá vàng SJC chạm 62 triệu đồng
Tăng nhanh hơn thế giới, giá vàng trong nước vừa lập đỉnh cao nhất mọi thời đại ở 62 triệu...
 
Giá vàng giảm sâu nhất trong 3 tuần
Việc giá vàng đảo chiều hạ trong phiên hôm qua, được cho là có nguyên nhân từ việc nhà đầu...
 
Giá vàng SJC lao dốc mạnh sau ngày vía Thần tài
Các doanh nghiệp kinh doanh vàng lớn điều chỉnh giảm giá bán vàng từ 150 nghìn đến 350 nghìn đồng...
 
Vì sao giá vàng thế giới vẫn lao dốc trong giai đoạn nhiều bất ổn?
Sáu tháng đầu năm 2018 chứng kiến nhu cầu vàng thế giới giảm xuống mức thấp nhất kể từ năm...

Chứng khoán

Nhà đầu tư tỷ phú Leon Cooperman:
"Họ đang làm những điều thật ngu ngốc. Theo quan điểm của tôi, họ sẽ phải kết thúc trong nước...
 
Việt Nam không vào danh sách theo dõi nâng hạng của MSCI
Kuwait được MSCI nâng hạng lên thị trường mới nổi. Với việc Kuwait được thăng hạng, VDSC ước tính tỷ...
 
Hiểu đúng về 'tính đòn bẩy' của chứng quyền có bảo đảm
Điểm thú vị của chứng quyền có bảo đảm – Covered Warrant (CW) là nhà đầu tư (NĐT) không phải...
 
Chứng khoán Mỹ rung lắc vì bán tháo, Dow Jones
Quá lo ngại về tình hình đàm phán giữa Mỹ và Trung Quốc sau tuyên bố của ông Trump, giới...

Doanh nghiệp

Doanh thu King Coffee lên 1.500 tỷ sau vài năm, lợi nhuận công ty mẹ Trung Nguyên Group từ 500-700 tỷ/năm rơi xuống dưới 100 tỷ
Trong khi hoạt động kinh doanh tại Trung Nguyên Group đi xuống do những ảnh hưởng tiêu cực của cuộc...
 
Vì đâu VinShop tự tin đặt mục tiêu thu hút được 300.000 cửa tiệm tạp hóa chỉ trong 2 năm, giảm giá thành hàng hóa tới 10%?
Logistics là nền tảng quan trọng để VinShop có thể kết nối được toàn chuỗi từ các nhãn hàng/các nhà...
 
Vingroup ra mắt ứng dụng VinShop
Tập đoàn Vingroup đặt chân vào lĩnh vực chưa có đối thủ ở Việt Nam, với ứng dụng mới tạo...
 
Giao hàng tiết kiệm, Viettel Post kiếm bộn tiền từ thị trường thương mại điện tử khi Shopee, Lazada… vẫn lỗ vài nghìn tỷ mỗi năm
Sự phát triển của mua sắm trực tuyến giúp cho các doanh nghiệp giao nhận hưởng lợi rõ ràng, nhưng...

Doanh nhân

Kể từ khi làn sóng dịch chuyển chuỗi cung ứng ra khỏi Trung Quốc của nhiều doanh nghiệp lớn trên...
 
Chuyện về cha đẻ mã CAPTCHA, người từ chối Bill Gates một cách phũ phàng mặc tỷ phú dành gần cả tiếng để thuyết phục
Từng được Bill Gates dành đến 45 phút để thuyết phục về làm việc cho Microsoft, nhưng Luis Von Ahn,...
 
 
CEO 9X nhận vốn triệu đô với tham vọng thay đổi thói quen tiết kiệm của người Việt: Đầu tư chỉ từ 50.000 đồng, dùng robot tư vấn
Nghiêm Xuân Huy, một 9x có 9 năm học tập và làm việc tại Australia, với mức lương 1,6 tỷ...
Top
Điện thoại:

Tiếp thị & Tiêu dùng - tiepthitieudung.com. All Right Reserved
Tiếp thị & Tiêu dùng - Cập nhật thông tin mới nhất về giá cả, thị trường, mua sắm...
tiepthitieudung.com giữ bản quyền trên website này
Liên hệ: [email protected]

1.11321 sec| 917.875 kb