Đã đến lúc loại bỏ hình thức xác thực qua SMS OTP?

Những vụ mất tiền trong tài khoản ngân hàng thời gian gần đây đã dấy lên hồi chuông báo động về phương thức xác thực thanh toán bằng mã OTP gửi qua tin nhắn đến điện thoại (SMS OTP).

Đã đến lúc loại bỏ hình thức xác thực qua SMS OTP?
Xác thực giao dịch bằng SMS OTP vẫn còn phổ biến với giao dịch dưới 100 triệu đồng ở Việt Nam.

Đầu tháng 10, ông Trần Việt Luận (TP.HCM) tá hỏa khi phát hiện tài khoản ngân hàng của mình bốc hơi 406 triệu đồng chỉ trong vỏn vẹn 7 phút. Phía ngân hàng cho biết tài khoản của khách hàng đã kích hoạt ứng dụng trên thiết bị khác và gửi đi 4 tin nhắn xác thực, 4 tin nhắn thông báo số dư biến động.

Gần đây, đến lượt vợ của nạn nhân vụ thủy điện Rào Trăng 3 bị lừa 150 triệu đồng trong tài khoản ngân hàng. Do lần thứ ba giao dịch không thành công, chị Lê Thị Thu Thảo may mắn giữ lại được 50 triệu đồng. Phía ngân hàng sau đó hỗ trợ tạm ứng 100 triệu đồng cho nạn nhân và phối hợp với cơ quan điều tra mau chóng tìm ra thủ phạm. 

Cũng như các vụ lừa đảo khác, điểm chung là nạn nhân đều cung cấp thông tin cá nhân cho người lạ mà không chút mảy may nghi ngờ. Đến khi phát hiện điều bất thường xảy ra, họ mới tá hỏa khi thấy tiền trong tài khoản bốc hơi nhanh chóng.

Vấn đề cốt lõi của sự việc là hiện nay các ngân hàng vẫn áp dụng phương thức xác thực bằng SMS OTP đối với giao dịch dưới 100 triệu đồng. Kẻ gian vì thế lợi dụng kẽ hở để thực hiện nhiều lệnh chuyển khoản dưới hạn mức trong thời gian rất ngắn, lấy đi một số tiền lớn của nạn nhân. Rào cản duy nhất là hạn mức giao dịch thường là 100 triệu đồng/ngày. Tuy nhiên, hạn mức tối đa hoàn toàn có thể điều chỉnh được một khi kẻ gian nắm được đầy đủ thông tin đăng nhập. 

Đã đến lúc loại bỏ hình thức xác thực qua SMS OTP?
Vợ của nạn nhân vụ thủy điện Rào Trăng 3 bị trừ liên tục 50 triệu đồng trên hai giao dịch cách nhau chỉ 1 phút.

Phương thức bảo mật SMS OTP bị đánh giá là kém an toàn, không có tính ‘chống chối bỏ’ và từng được ông Nguyễn Tử Quảng (CEO BKAV) kiến nghị hạ thấp hạn mức giao dịch xuống, tiến tới loại bỏ công nghệ SMS OTP tại các ngân hàng ở Việt Nam giống như một số nước phát triển đang áp dụng.

 

Thực tế, với giao dịch trên 100 triệu đồng, phương thức xác thực phổ biến là các loại Soft OTP sử dụng xác thực bằng mã PIN hoặc sinh trắc học tùy từng ngân hàng. Còn với giao dịch trên 500 triệu đồng, các ngân hàng Việt Nam hiện nay đã áp dụng phương thức chữ ký số, xác thực bằng một thiết bị chứa token đi kèm mỗi tài khoản nhất định.

Các phương thức như Soft OTP tạo ra cơ chế bảo mật hai lớp (2FA) trong đó có một lớp mật khẩu đăng nhập ứng dụng, một lớp mã PIN với bàn phím hiển thị ngẫu nhiên được đánh giá là an toàn hơn SMS OTP. 

Dù vậy, người dùng có thể bị lừa nhập những thông tin này cho kẻ xấu nếu không cảnh giác hoặc không kích hoạt xác thực sinh trắc học (vân tay, khuôn mặt, mống mắt...). Tuy nhiên, một hạn chế là xác thực sinh trắc học phụ thuộc cả vào việc ngân hàng và thiết bị đầu cuối của người dùng có hỗ trợ hay không.

Theo các chuyên gia bảo mật, mã OTP khi sinh ra từ SMS có thể dễ dàng bị chặn lại bởi tin tặc, khiến người dùng không biết mình bị mất tiền cho đến khi nhận được thông báo biến động số dư trong tài khoản. Phương thức SMS OTP được phát minh từ những năm 80 của thế kỷ trước và hiện đã bị nhiều ngân hàng trên thế giới loại bỏ để thay bằng một số phương pháp hiện đại hơn.

Phương Nguyễn

Mã OTP là gì và các ngân hàng Việt đang bảo mật ra sao?

Mã OTP là gì và các ngân hàng Việt đang bảo mật ra sao?

Xoay quanh câu chuyện người dùng bị hack tài khoản, bốc hơi hơn 400 triệu đồng trong vòng vài phút, việc bảo mật của các ngân hàng lại trở thành vấn đề nóng.

Chủ đề : SMS OTP
 
List comment
 
Tổ chức đứng sau vụ tấn công SolarWinds đang trở lại
icon

Tập đoàn Microsoft cho biết, tổ chức đứng sau vụ tấn công mạng SolarWinds được phát hiện hồi năm ngoái, hiện đang nhắm mục tiêu đến các cơ quan chính phủ, các tổ chức nghiên cứu, các cơ quan tư vấn và các tổ chức phi chính phủ.

 
Hà Nội sẽ siết quản lý báo chí, trang tin điện tử và mạng xã hội để bảo đảm an toàn thông tin mạng
icon

Hà Nội sẽ siết chặt quản lý các trang thông tin điện tử, mạng xã hội và xử lý nghiêm tình trạng báo hóa trang thông tin điện tư tổng hợp, mạng xã hội trên địa bàn với mục tiêu đảm bảo an ninh thông tin.

 
Áp dụng công nghệ mới để phát hiện, ngăn chặn các hành vi tấn công mạng
icon

Bộ trưởng Bộ TT&TT vừa chỉ thị toàn ngành nhanh chóng phát hiện, kịp thời xử lý các hành vi vi phạm trên mạng. Đặc biệt, áp dụng công nghệ mới để phát hiện, cảnh báo, ngăn chặn hành vi tấn công mạng, đảm bảo hệ thống thông tin.

 
Chiêu lừa chiếm đoạt thuê bao để rút tiền từ thẻ tín dụng, vay tiền online
icon

Lợi dụng sơ hở của người dùng, các đối tượng lừa đảo sẽ chiếm đoạt quyền kiểm soát SIM thuê bao di động để đánh cắp thông tin mã OTP, sau đó rút tiền từ thẻ tín dụng hoặc vay tiền online.

 
Người đứng sau công ty hỗ trợ FBI phá khóa iPhone là ai?
icon

Cellebrite, công ty được cảnh sát Anh yêu thích, đã bước ra khỏi bóng tối để chuẩn bị IPO.  

 
 
Sử dụng trí tuệ nhân tạo lọc nội dung độc hại với trẻ em trên Internet
icon

 CyberPurify Kids sẽ sử dụng trí tuệ nhân tạo (AI) trên trình duyệt để nhận dạng, ngăn chặn hiển thị 15 loại nội dung độc hại với trẻ em. Sản phẩm này sẽ được cung cấp miễn phí cho trường học, phòng lab và những nơi có máy tính công cộng.

VNG và Gamota thông báo đóng cửa 2 game tại thị trường trong nước
icon

VNG vừa thông báo ngừng cung cấp game Auto Chess VNG do kinh doanh không hiệu quả. Một tựa game khác là GunX: Fire cũng đóng cửa tại Việt Nam với lý do tương tự.  

Microsoft: Tỷ lệ lây nhiễm malware và ransomware gia tăng
icon

Theo các chuyên gia, tỷ lệ nhiễm malware ở châu Á Thái Bình Dương đang gia tăng trong 18 tháng qua. Tại Việt Nam, tỷ lệ lây nhiễm mà Microsoft đo được là 7%.

Các nền tảng giao dịch tiền điện tử đã quan tâm đúng mực đến dữ liệu cá nhân?
icon

Vụ lộ lọt 17GB dữ liệu người dùng Việt Nam hồi tuần trước đã dấy lên mối lo ngại của người dùng về việc cung cấp thông tin cá nhân khi tham gia các nền tảng tiền điện tử.

Chiêu thức tinh vi giả mạo ngân hàng lừa đảo người dùng
icon

Các đối tượng lừa đảo dùng chiêu thức lập website hay giả mạo tin nhắn ngân hàng rồi dẫn dụ người dùng truy cập vào đường link để chiếm đoạt tiền trong tài khoản, lấy cắp thông tin người dùng.  

 
123

Giấy phép hoạt động báo chí: Số 09/GP-BTTTT, Bộ Thông tin và Truyền thông cấp ngày 07/01/2019.

Tòa soạn: Tầng 7, Tòa nhà Cục Tần số Vô tuyến điện, 115 Trần Duy Hưng, Quận Cầu Giấy, Hà Nội

Điện thoại: 024 3 936 9966 - Fax: 024 3 936 9364

Hotline nội dung: 0888 911 911 - Email: toasoan@ictnews.vn

123