Công nghệ SMS OTP đã không còn an toàn

Vân Ly

(TBKTSG Online) – Trong thời gian gần đây, nhiều tài khoản khách hàng tại một số ngân hàng đã bị đánh cắp tiền. Các chuyên gia cho rằng tình trạng này xảy ra do các ngân hàng sử dụng công nghệ mật khẩu sử dụng một lần gởi qua tin nhắn (SMS OTP) không đảm bảo an toàn. Để tăng tính bảo mật, các ngân hàng nên sử dụng giải pháp chữ ký số cho các giao dịch lớn.

Khách mất tiền trong tài khoản ngân hàng vì SMS OTP không đảm bảo an toàn. Ảnh minh họa: V.O

Chiều 4-10 vừa qua, một chủ tài khoản Vietcombank phát hiện bị mất 406 triệu đồng trong tài khoản chỉ trong vòng 7 phút. Bốn giao dịch chuyển tiền đã được thực hiện, toàn bộ số tiền nói trên đã được dời đến các tài khoản thuộc hai ngân hàng khác.

"Khổ chủ" cho biết bản thân không thực hiện các giao dịch nói trên, không nhận được tin nhắn thông báo mã xác thực, biến động số dư qua điện thoại như thông lệ, không cung cấp, chia sẻ tên truy cập dịch vụ hay mật khẩu VCB Digibank cho bất cứ ai và cũng không biết người thụ hưởng là ai.

Còn phía ngân hàng cho biết bốn giao dịch chuyển khoản nói trên đều hợp lệ và đã có tám tin nhắn được gửi đến số điện thoại của chủ tài khoản. Vietcombank mô tả tài khoản trên ứng dụng VCB Digibank của nạn nhân đã được kích hoạt trên một thiết bị khác và thực hiện lệnh chuyển tiền.

Vụ việc như nói trên không phải là duy nhất mà xảy ra ngày càng nhiều và tại nhiều ngân hàng khác nhau trong thời gian gần đây. Ông Nguyễn Tử Quảng, Chủ tịch tập đoàn Bkav, cho biết Bkav đã ghi nhận nhiều vụ việc mất tiền theo cách nói trên trong năm qua.

Theo ông Quảng, công nghệ xác thực mật khẩu dùng một lần được gửi qua tin nhắn điện thoại, gọi là SMS OTP không còn an toàn nữa do đã bị những kẻ tấn công mạng (hacker) nắm được điểm yếu (công nghệ SMS OTP không có tính “chống chối bỏ”, tức là không có đủ cơ sở để chỉ ra ai là người thực hiện giao dịch). Hacker dùng một trong hai cách sau để đoạt lấy mật khẩu của người sử dụng: hacker lừa nạn nhân nhập mã SMS OTP vào một trang web giả mạo hoặc lừa nạn nhân cài phần mềm gián điệp chiếm quyền điều khiển trên thiết bị di động.

Hiện Ngân hàng Nhà nước đã ban hành quy định bắt buộc áp dụng với tất cả các ngân hàng, tuy nhiên hạn mức để bắt buộc phải sử dụng chữ ký số đang còn ở mức cao - giao dịch phải trên 500 triệu đồng mới phải sử dụng chữ ký số. Nghĩa là, hacker vẫn có thể đánh cắp những khoản tiền dưới 500 triệu đồng trong tài khoản của khách hàng.

Người sử dụng lâu nay được khuyến nghị nên cần cài đặt phần mềm diệt virus trên máy tính để chống đánh cắp dữ liệu trang web và cài phần mềm chống mã độc trên thiết bị di động để ngăn chặn các phần mềm gián điệp, chiếm quyền kiểm soát điện thoại. Tuy nhiên, việc sử dụng các phần mềm như vậy đến nay vẫn chưa thật sự phổ biến.

Liên quan đến điểm yếu bảo mật của phương thức xác thực OTP, mới đây Bkav đã đưa ra cảnh báo về phần mềm gián điệp VN84App, chuyên đánh cắp dữ liệu người dùng Việt Nam, đặc biệt nhắm vào mã SMS OTP.

VN84App được phát tán thông qua các trang web giả mạo cơ quan chức năng, trong đó có trang giả mạo Bộ Công an. Người dùng bị cài bẫy truy cập vào trang web giả này và tải về điện thoại ứng dụng VN84App (tập tin .apk). Khi được cài đặt thành công, VN84App sẽ âm thầm thu thập tin nhắn, số điện thoại, thông tin IMEI… gửi về máy chủ điều khiển của hacker. Các chuyên gia phát hiện máy chủ điều khiển có giao diện bằng tiếng Trung Quốc và tin nhắn được thu thập từ điện thoại là những giao dịch ngân hàng có số tiền lớn lên tới hàng tỉ đồng.