Nhiều vụ đánh cắp tài khoản ngân hàng qua OTP cần biết để tránh mắc bẫyicon

Theo các nhà bảo mật, dù bảo mật bằng OTP trên điện thoại nhưng hacker vẫn có thể tấn công để chiếm đoạt tài khoản ngân hàng người dùng.

Theo các nhà bảo mật, dù bảo mật bằng OTP trên điện thoại nhưng hacker vẫn có thể tấn công để chiếm đoạt tài khoản ngân hàng người dùng.

 

Rủi ro khi bảo mật bằng OTP

Theo các chuyên gia bảo mật, OTP (mật khẩu dùng một lần) gửi qua tin nhắn SMS là phương pháp xác thực bảo mật được sử dụng nhiều, nhất là trong những lĩnh vực như tài chính, ngân hàng. Chẳng hạn trong giao dịch chuyển tiền, dịch vụ sẽ yêu cầu người thực hiện nhập thêm mã OTP được gửi đến số điện thoại cá nhân để đảm bảo chính chủ thực hiện giao dịch. Dù là một bước trong quy trình bảo mật 2 lớp nhưng OTP vẫn có thể bị hacker khai thác, đặc biệt là với người dùng điện thoại.

Cách đây không lâu một tài khoản ngân hàng của ông Trần Việt Luận (TP HCM) bị kích hoạt ứng dụng trên thiết bị khác và chuyển 406 triệu cho người thụ hưởng tại MSB, SEABank trong vòng 7 phút. Vì không nhận được tin nhắn thông báo mã xác thực, biến động số dư qua điện thoại nên ông không phát hiện cho đến khi ra ngân hàng giao dịch.

Nhận định về tình hình trên, ông Nguyễn Tử Quảng- CEO Bkar cho biết: "Trong năm qua, chúng tôi biết có nhiều vụ đánh cắp tài khoản ngân hàng mà hacker khai thác điểm yếu của công nghệ xác thực SMS OTP. Vụ tài khoản ngân hàng "bốc hơi" 406 triệu đồng cũng liên quan đến việc hacker khai thác các điểm yếu này".

Nhiều vụ đánh cắp tài khoản ngân hàng qua OTP cần biết để tránh mắc bẫy
Bảo mật tài khoản ngân hàng bằng OTP gửi qua tin nhắn điện thoại không an toàn như nhiều người tưởng. Ảnh minh họa

Ông Quảng giải thích thêm, hacker có ít nhất 2 cách để lấy được mã OTP trong SMS của người dùng. Thứ nhất, hacker lừa nạn nhân nhập mã OTP vào một website giả mạo để chiếm mã.

Ngoài ra, chúng có thể lừa nạn nhân cài phần mềm gián điệp lên điện thoại. Phần mềm gián điệp sẽ theo dõi tất cả thông tin, trong đó có tin nhắn SMS chứa mã OTP và các thông tin đăng nhập vào ứng dụng Mobile Banking. Với cả hai cách trên, hacker hoàn toàn có thể chiếm được mã OTP và thực hiện các giao dịch giả mạo.

Theo ông Quảng, điểm yếu lớn nhất của phương pháp SMS OTP là thiếu tính "chống chối bỏ", tạo kẽ hở để hacker thực hiện các giao dịch ngân hàng trên một thiết bị lạ.

Tính "chống chối bỏ" nghĩa là hệ thống không thể xác minh được ai đang thực hiện giao dịch. Ví dụ, nếu kẻ xấu dụ người dùng truy cập một trang chuyển tiền giả mạo, mọi thông tin người dùng nhập vào sẽ được chuyển tới kẻ xấu. Khi đó, chúng sẽ có thông tin đăng nhập và mã OTP để thực hiện giao dịch ở một thiết bị khác. Hệ thống không có khả năng xác định ai thực hiện giao dịch trên.

Theo ông Nguyễn Văn Cường, Trưởng phòng An ninh mạng của Bkav, hiện nay, nhiều nước trên thế giới đã ứng dụng các phương pháp bảo mật có tính "chống chối bỏ" nhằm khắc phục kẽ hở này.

Trong sự cố của ông Trần Việt Luận, đại diện một ngân hàng cho biết cho biết "đây là trường hợp nghi ngờ bị giả mạo giao dịch qua ứng dụng ngân hàng dẫn đến bị rút tiền trong tài khoản".

Tài khoản của khách hàng bị kích hoạt ứng dụng trên thiết bị khác. Ngân hàng dẫn xác nhận của nhà mạng cho thấy đã gửi tổng cộng 8 tin nhắn (4 tin xác thực và 4 tin biến động số dư) đến điện thoại khách hàng, trong khi người này không nhận được bất kỳ tin nhắn nào. Vụ việc này vẫn đang tiếp tục điều tra.

Cách phòng tránh khỏi hacker tấn công OTP

Ông Võ Đỗ Thắng, Giám đốc Trung tâm an ninh mạng Athena, người từng nhiều năm theo dõi tình hình an ninh mạng tại Việt Nam, cho biết việc tấn công tài khoản bằng cách khai thác mã OTP xảy ra khá thường xuyên thời gian qua, không chỉ ở Việt Nam mà trên toàn thế giới. Tuy nhiên, theo ông Thắng, yếu tố quyết định sự an toàn nằm ở người dùng chứ không phải phương pháp.

Ông cho rằng nguyên nhân chính của các vụ đánh cắp tài khoản đến từ sự chủ quan và thiếu kinh nghiệm tự bảo vệ của người dùng điện thoại. Nhiều người thoải mái đăng nhập Wi-Fi công cộng, hoặc tải phần mềm gián điệp về máy mà không biết. Hacker hoàn toàn có thể khai thác thói quen này để lấy được mã OTP của người dùng. "Bảo mật hai lớp bằng OTP cũng sẽ trở nên kém an toàn nếu chúng ta sử dụng trên một thiết bị không an toàn", ông Thắng nói.

Người dùng có thể tự phòng tránh các nguy cơ bị chiếm tài khoản bằng cách không click vào các link lạ, đặc biệt là khi thực hiện giao dịch tiền bạc. Người dùng không cài đặt ứng dụng lạ từ các nguồn không chính thống. Khi cài đặt phần mềm mới, không cung cấp quá nhiều quyền cho các ứng dụng, như đọc SMS, truy cập Internet... nếu không cần thiết. Ngoài ra, những người smartphone cũng nên sử dụng các phần mềm chống mã độc để bảo vệ thiết bị.

Các dịch vụ, đặc biệt dịch vụ ngân hàng cần có cảnh báo đến người dùng khi phát hiện đăng nhập từ một thiết bị mới. Ngoài ra, các đơn vị này có thể ứng dụng phương pháp bảo mật bằng chữ ký số. "Chữ ký số" là một thiết bị cắm ngoài, hoặc nằm trên thiết bị nhưng định danh gắn liền với thiết bị đó. Ưu điểm của chữ ký số là xác định được nguồn gốc người gửi, do đó nó có tính chất "chống chối bỏ" và được pháp luật bảo hộ theo Nghị Định 130/2018/NĐ-CP.

Mặc dù phương pháp này phổ biến trên thế giới và hiện được nhiều lĩnh vực tại Việt Nam như Hải Quan, Bảo hiểm, Thuế, sử dụng. Tuy phương pháp này hiện chưa được các ngân hàng phát triển vì một số rào cản về pháp lý khi dùng trên di động. Đồng thời chữ ký số còn bất tiện hơn so với OTP khi chuyển đổi giao dịch giữa các thiết bị khác nhau.

Người dùng cảnh giác với email không rõ nguồn gốc. Tuyệt đối không được đăng nhập thông tin tài khoản ngân hàng của mình vào các trang web, ứng dụng của bên thứ 3. Cần có thói quen thay đổi mật khẩu thường xuyên, không nên sử dụng chung mật khẩu giữa các tài khoản khác nhau, đặc biệt là tài khoản ngân hàng. Trong trường hợp tài khoản bị trừ tiền một cách đáng ngờ, người dùng cần lập tức liên hệ với ngân hàng để khóa tài khoản và tra cứu lịch sử giao dịch.

(Theo Viet Q)

Tin mới

Điện thoại gập không còn là "đồ chơi nhà giàu": Galaxy Z Fold7 và Flip7 khiến người Việt chịu chi hơn bao giờ hết, xếp hàng từ tận 7 giờ sáng để mua máy mới
7 giờ trước
Ngày 26/7, dòng Galaxy Z series thế hệ mới chính thức mở bán tại Việt Nam, nhưng không đơn thuần là chuyện mở bán, sự kiện này cho thấy người dùng đã dần sẵn sàng nâng cấp sang điện thoại gập. Điều gì khiến hàng loạt khách hàng xếp hàng nhận máy sớm?
Cấm xe máy chạy xăng, cây xăng có thể chuyển thành trạm sạc xe điện?
6 giờ trước
Một số doanh nghiệp cho biết việc chuyển từ cửa hàng xăng dầu sang trạm sạc xe điện lo nhất là hiệu quả kinh tế.
1 mặt hàng Made in China tràn vào ồ ạt khiến gã khổng lồ của Nga ế hàng ngay trên sân nhà
7 giờ trước
Do giảm doanh số nên gã khổng lồ của Nga dự kiến sẽ chuyển sang chế độ làm việc 4 ngày/tuần.
Một thương hiệu băng vệ sinh vướng nghi vấn chứa chất gây ung thư vượt ngưỡng cho phép 16.000 lần
8 giờ trước
Loạt sản phẩm băng vệ sinh của thương hiệu này bị phát hiện chứa hàm lượng cực cao thio-urea, chất bị nghi có nguy cơ gây ung thư và tổn hại nội tạng.
Nhà xuất khẩu LNG lớn thứ 3 thế giới bất ngờ đe dọa cắt nguồn cung khí đốt của châu Âu, chuyện gì đang xảy ra?
8 giờ trước
Đây là cứu tinh năng lượng cho châu Âu kể từ khi xung đột giữa Nga và Ukraine xảy ra.

Tin cùng chuyên mục

Tỷ phú Jack Ma đạp xe dạo phố đêm, “bóc” giá xe mà choáng
11 giờ trước
Hình ảnh giản dị, gần gũi của tỷ phú Jack Ma trong một video được chia sẻ gần đây khiến nhiều người bất ngờ.
Đua nhau đổi xe máy xăng lấy xe điện, các hãng đem xe xăng đi đâu?
1 ngày trước
Nhiều người thắc mắc sau khi bên thu xe máy xăng với số lượng khá lớn, các hãng sẽ mang số xe này đi đâu?
Better Choice Awards 2024: Giải thưởng đã trao, sản phẩm giờ ra sao?
2 ngày trước
Giải xong không phải là hết: Những cái tên được vinh danh tại Better Choice Awards 2024 đang chứng minh rằng lựa chọn của người tiêu dùng, và hội đồng thẩm định, là hoàn toàn có cơ sở.
Nhộn nhịp thị trường xe điện
2 ngày trước
Những ngày qua, thị trường xe điện TPHCM dần sôi động, nhất là khi chính quyền thành phố quyết tâm hiện thực hóa mục tiêu chuyển đổi 400.000 xe máy xăng sang xe điện trong giai đoạn 2026 - 2030.