Mất tiền do lỗ hổng OTP

9 Thanh Niên

Đánh giá tác giả

Đánh giá tác giả

Các vụ tiền trong tài khoản ngân hàng “bốc hơi” mà khách hàng khẳng định không đăng nhập đường link lạ, cung cấp thông tin tài khoản cho người khác, trong khi ngân hàng thông tin giao dịch hợp lệ khiến nhiều người hoang mang.
Chủ tài khoản ngân hàng thận trọng khi tải các app, phần mềm trên điện thoại
 /// Ảnh: AFP Chủ tài khoản ngân hàng thận trọng khi tải các app, phần mềm trên điện thoại - Ảnh: AFP
Chủ tài khoản ngân hàng thận trọng khi tải các app, phần mềm trên điện thoại
Ảnh: AFP

Phần mềm gián điệp đánh cắp

Chiều 7.10, ông Trần Việt Luận (ở Q.Thủ Đức, TP.HCM), người bị mất 406 triệu đồng trong tài khoản ngân hàng V. qua ứng dụng Digibank, cho biết sau khi sự việc được thông tin trên báo, phía ngân hàng (NH) vẫn chưa có thêm thông tin gì về việc ông không đăng nhập tài khoản cũng như thực hiện 4 lệnh giao dịch chuyển khoản 406 triệu đồng.
“Trong công văn phản hồi khách hàng, V. chỉ thông tin là đơn vị cung cấp dịch vụ gửi tin nhắn đã gửi mã OTP vào điện thoại của tôi mà không đưa thông tin chứng minh, trong khi tôi đã nói không nhận được bất cứ tin nhắn nào về OTP cả. Quá mệt mỏi, tôi sẽ báo công an và đã ủy quyền cho công ty luật sư để theo vụ việc này”, ông Luận nói.
OTP - mật khẩu sử dụng một lần chỉ tồn tại trong thời gian ngắn nhất định, thường là sau 60 giây thì mã sẽ không còn hiệu lực, được coi là chốt chặn hiệu quả nhất để bảo vệ tài khoản. Vì thế, việc mã OTP cũng có thể bị đánh cắp gây hoang mang cho người sử dụng. Diễn đàn Whitehat (hacker mũ trắng) tại Việt Nam phân tích lỗ hổng ở đây chính là điểm yếu công nghệ trong phương thức gửi OTP qua tin nhắn truyền thống trên điện thoại di động (SMS OTP), nơi mà kẻ xấu đã lợi dụng điều này để tấn công lừa đảo (còn gọi phishing) mà nạn nhân không hề hay biết.

Nếu có “lỗ hổng” từ phương thức SMS OTP thì đã trở thành câu chuyện lớn hơn vì bất kỳ ai cũng có thể mất tiền nhưng tình trạng này rất khó. Tuy nhiên, gửi SMS OTP có hạn chế như trong các dịch vụ xuyên biên giới không thực hiện được. Hoặc có tồn tại nguy cơ bị đọc trộm từ mạng viễn thông, nhưng thực tế cũng không dễ. Hiện nay, nhiều đơn vị đã chuyển sang sử dụng việc xác thực OTP trên ứng dụng như Google Authenticator… vì tiện lợi hơn.

Chuyên gia bảo mật Nguyễn Minh Đức

Có 2 kịch bản được Whitehat đề cập. Thứ nhất, kẻ xấu sẽ lừa nạn nhân nhập mã OTP vào một website giả mạo (NH, dịch vụ chuyển tiền...) để chiếm mã OTP, từ đó tạo ra giao dịch chuyển tiền giả mạo. Đối với kịch bản thứ hai, kẻ xấu sẽ lừa nạn nhân cài đặt một phần mềm gián điệp trên điện thoại. Phần mềm này sẽ theo dõi tất cả thông tin, trong đó có tin nhắn chứa mã OTP và các thông tin đăng nhập vào ứng dụng Mobile Banking.
Liên quan điểm yếu bảo mật của phương thức xác thực OTP, mới đây vào tháng 6, Tập đoàn công nghệ Bkav đã đưa ra cảnh báo về một phần mềm gián điệp có tên Việt Nam84App. Phần mềm này đánh cắp dữ liệu người dùng Việt Nam, đặc biệt tập trung đánh cắp các mã SMS OTP. Ước tính tại Việt Nam đã có hơn 300 nạn nhân chỉ trong một thời gian ngắn. Phần mềm gián điệp Việt Nam84App được phát tán thông qua các website giả mạo cơ quan chức năng và khi người dùng truy cập vào website này, tải về điện thoại ứng dụng Việt Nam84App dưới dạng tập tin .apk. Lúc này Việt Nam84App sẽ âm thầm thu thập tin nhắn, số điện thoại, thông tin IMEI… gửi về máy chủ điều khiển của hacker. Phân tích Việt Nam84App, các chuyên gia phát hiện máy chủ điều khiển có giao diện bằng tiếng Trung Quốc và tin nhắn được thu thập từ điện thoại là những giao dịch NH có số tiền lớn lên tới hàng tỉ đồng.

Nhiều nghi vấn mã độc

Chuyên gia bảo mật Nguyễn Minh Đức phân tích để lấy tiền trong tài khoản NH thì kẻ lừa đảo phải đánh cắp toàn bộ thông tin về tài khoản NH và sau đó là mã OTP. Trong trường hợp của khách hàng nêu trên, kẻ lừa đảo đã kích hoạt tài khoản NH trên một thiết bị khác. Khi đó bắt buộc kẻ lừa đảo cũng phải có được mã OTP để cài đặt. Có nhiều khả năng mã OTP được đánh cắp. Chẳng hạn khi tin nhắn gửi OTP đến người dùng hiện lên màn hình thiết bị thì có người nhìn lén và nhập ngay vào để kích hoạt tài khoản. Hoặc thông qua đường link đến website giả mạo tương tự V. mà khách hàng tưởng mình đang giao dịch trên trang web chính thức của NH nên nhập mã OTP và bị hacker lấy cắp rồi cùng lúc thực hiện cài đặt tài khoản qua thiết bị khác. Hay thiết bị của người dùng đã bị cài mã độc sẵn trước đó nên mọi thông tin, giao dịch đều được sao chép...
Đồng quan điểm, ông Võ Đỗ Thắng, Giám đốc Trung tâm đào tạo an ninh mạng, cho rằng đơn vị này đã gặp rất nhiều khách hàng bị mất toàn bộ thông tin cá nhân từ email đến tài khoản Zalo, Facebook hay cả tài khoản NH trên thiết bị di động nói chung đã bị phần mềm gián điệp xâm nhập. Các phần mềm gián điệp khá đa dạng, có những chương trình chuyên tập trung sao chép liên quan đến giao dịch tài chính như tài khoản NH, Mobile Banking; có phần mềm tập trung ghi nhận lịch sử trao đổi qua điện thoại… Khi đã bị phần mềm gián điệp nằm vùng thì mọi hoạt động, giao dịch trên điện thoại đều bị sao chép, kể cả tin nhắn chứa mã OTP trong các giao dịch chuyển khoản.
“Khi thiết bị không an toàn thì bất kể sử dụng phương pháp nào trong bảo mật khi giao dịch của NH, từ SMS OTP hay OTP qua ứng dụng… đều có khả năng bị sao chép, rủi ro mất tiền cao. Từ đó kẻ gian dễ dàng lấy được mã OTP để lấy trộm tiền trong tài khoản”, ông Võ Đỗ Thắng nói.

Bình luận

User
Gửi bình luận
Minh Phong Trần

Minh Phong Trần

Quý vị có ai giao dịch hoặc chuyển khoản bằng 2 điện thoại như tôi không? 1 cái cài app của ngân hàng và 1 cái điện thoại cùi bắp nhận mã otp. Tôi nghĩ hơi bất tiện nhưng lại được an toàn mỗi khi thực hiện giao dịch.
AnhBui

AnhBui

2 tay 2 súng đây...bất tiện tý nhưng chả sao
Thảo Nông Thị

Thảo Nông Thị

Ban đầu tôi dùng riêng vì công việc nhưng sau thấy nó có vẻ an toàn hơn nên đã duy trì nó đến nay cũng khoảng 5 năm rồi.
Lệ Đá

Lệ Đá

Tôi lạc hậu nên chỉ dùng phương pháp cổ điển. Muốn rút hay chuyển tiền, tôi đến ngân hàng viết phiếu. Vì vậy, tiền trong tài khoản ngân hàng của tôi chưa bao giờ mất. Suy ra : lạc hậu cũng có cái hay !
Tuấn

Tuấn

Tôi đồng quan điểm với bạn
Vietroad

Vietroad

Nói như bạn thì khác nào nói không đi xe cho đỡ bị tai nạn giao thông. Công nghệ ra đời để phục vụ tiện nghi thì cớ gì không xài. Vấn đề là xài sao cho an toàn. Thế giới bao nhiêu người xài, chỉ vài người bị mất thì đó không phải lỗi của công nghệ.
Trong khi bạn chạy ra ngân hàng bốc số ngồi chờ thì người ta đã làm xong và đi ngủ từ lâu. Mà chắc gì ra ngân hàng rút đã an toàn. Ai dám chắc cầm tiền trên tay khôg bị cướp.
Vu Nguyen Anh

Vu Nguyen Anh

Chia sẻ kinh nghiệm thế này : Dùng điện thoại ngu ( không thông minh), chỉ có chức năng nghe gọi để nhận SMS OPT.
Vietroad

Vietroad

Rất nhiều người dùng điện thoại thông minh một cách rất không thông minh. Cứ cài app tùy tiện mà chẳng biết gì về quyền được cấp cho app thế là ứng dụng muốn làm gì thì làm, kể cả quyền đọc tin nhắn. Vậy thì mất OTP là chuyện đương nhiên.
Xem thêm bình luận

VIDEO ĐANG XEM NHIỀU