Cộng đồng Whitehat cảnh báo có nhiều nạn nhân bị đánh cắp tiền trong tài khoản ngân hàng dựa trên khai thác điểm yếu của phương pháp bảo mật SMS OTP.
Rạng sáng nay (6/10), diễn đàn Whitehat (hacker mũ trắng) tại Việt Nam đã đăng tải một thông tin thu hút sự quan tâm lớn của cộng đồng trong nước.
Trong bài viết đề cập tới tình trạng một vài chủ tài khoản ngân hàng đã trở thành nạn nhân bị đánh cắp số tiền lớn, có người lên tới vài trăm triệu đồng, mà không hề hay biết.
Mấu chốt của vấn đề là trong khi nạn nhân cho biết không hề nhận được tin nhắn thông báo mã xác thực, biến động số dư bằng SMS qua điện thoại như thông lệ, nhưng các giao dịch chuyển khoản bằng một cách nào đó vẫn diễn ra hợp lệ sau khi chấp nhận mã OTP (không xuất hiện) trên điện thoại của chủ tài khoản.
Lỗ hổng bảo mật từ tin nhắn OTP
Một trường hợp cụ thể đã diễn ra chiều ngày 04/10, khi nhiều trang tin rộ lên sự việc một chủ tài khoản Vietcombank phát hiện mình bị “bốc hơi” 406 triệu đồng trong tài khoản.
Theo thông tin được đăng tải, tài khoản của nạn nhân được xác định có 4 giao dịch phát sinh, lần lượt chuyển toàn bộ số tiền bị mất nói trên đến các tài khoản thuộc 2 ngân hàng khác trong vòng 7 phút.
Giống như đã đề cập ở phần trên, chủ tài khoản khẳng định bản thân không nhận được thông báo, không thực hiện các giao dịch trên và cũng không biết người thụ hưởng là ai.
Theo Whitehat, lỗ hổng ở đây chính là điểm yếu công nghệ trong phương thức xác thực SMS OTP, nơi mà kẻ xấu đã lợi dụng điều này để tấn công lừa đảo (còn gọi 'phishing') mà nạn nhân không hề hay biết.
Diễn tập quốc tế về phòng, chống tấn công mạng giữa 10 nước ASEAN và Nhật Bản tại Việt Nam vào tháng 6/2020.
Có 2 kịch bản được Whitehat đề cập, cho phép hacker có thể dựng lên để lừa người sử dụng như sau:
Ở kịch bản đầu tiên, kẻ xấu sẽ lừa nạn nhân nhập mã OTP vào một website giả mạo (ngân hàng, dịch vụ chuyển tiền…) để chiếm mã OTP, từ đó tạo ra giao dịch chuyển tiền giả mạo.
Đối với kịch bản thứ hai, kẻ xấu sẽ lừa nạn nhân cài đặt một phần mềm gián điệp trên điện thoại. Phần mềm này sẽ theo dõi tất cả thông tin, trong đó có tin nhắn SMS chứa mã OTP và các thông tin đăng nhập vào ứng dụng Mobile Banking. Một khi lấy được các thông tin này, hacker sẽ có thể tạo ra các giao dịch chuyển tiền giả mạo.
Người dùng - hay ngân hàng sẽ chịu trách nhiệm?
Trao đổi với cộng đồng Whitehat, ông Ngô Tuấn Anh, Phó chủ tịch phụ trách an ninh mạng của Bkav chia sẻ: "Việc quy trách nhiệm ngân hàng đúng hay khách hàng đúng, sẽ không thể xử lý được triệt để bởi OTP là công nghệ không có tính ‘chống chối bỏ’, nghĩa là không có khả năng xác định chính xác và quy trách nhiệm ai thực hiện giao dịch".
Bên cạnh đó, Việt Nam cũng chưa có khung pháp lý phù hợp để áp dụng cho trường hợp cụ thể người dùng - là nạn nhân, bị đánh cắp tiền dựa trên xác thực mã OTP giả. Do đó, sẽ rất khó để quy luận rằng bên nào sẽ phải chịu trách nhiệm về số tiền đánh mất (trong trường hợp không tìm thấy kẻ thực hiện hành vi đánh cắp). Ngân hàng cũng có quyền không bồi thường cho khách hàng, do về lí thuyết, giao dịch diễn ra hợp lệ dựa trên hệ thống OTP.
Một số chuyên gia công nghệ gợi ý rằng giải pháp duy nhất hiện nay đáp ứng về mặt công nghệ và pháp lý của chống chối bỏ là chữ ký số.
Tuy nhiên, giao dịch sử dụng chữ ký số hiện nay tại Việt Nam vẫn còn hạn chế, cụ thể giao dịch phải trên 500 triệu mới phải sử dụng phương pháp này. Do đó, đa số các giao dịch được thực hiện vẫn bảo mật dựa trên phương pháp SMS OTP.
Để đối phó với tình trạng này, các chuyên gia bảo mật từ Whitehat đưa lời khuyên rằng đối với người sử dụng, cần cảnh giác trước các chiêu thức tấn công lừa đảo của kẻ xấu, đồng thời chuẩn bị sẵn phương án đối phó.
Những biện pháp tự phòng vệ khả dĩ nhất được đưa ra đó là kiểm tra kỹ tên miền của website, không tải về các ứng dụng thanh toán lạ, không dùng mạng Wi-fi công cộng,... để thực hiện giao dịch trực tuyến.
Ngoài ra, người dùng nên cài đặt phần mềm diệt virus trên máy tính để chống đánh cắp dữ liệu website và cài phần mềm chống mã độc trên thiết bị di động để ngăn chặn các phần mềm gián điệp, chiếm quyền kiểm soát điện thoại.
Theo Dân trí