Mã OTP là gì và các ngân hàng Việt đang bảo mật ra sao?

Xoay quanh câu chuyện người dùng bị hack tài khoản, bốc hơi hơn 400 triệu đồng trong vòng vài phút, việc bảo mật của các ngân hàng lại trở thành vấn đề nóng.

 Mã OTP là gì và các ngân hàng Việt đang bảo mật ra sao?

OTP (viết tắt của one-time password) là khái niệm dựa trên Thuật toán Mật khẩu một lần có thời hạn, được phát minh ra vào khoảng thập niên 1980. Mã OTP sau đó được ứng dụng rộng rãi trong nhiều lĩnh vực của đời sống từ thương mại, ngân hàng và tài chính, quốc phòng, y tế đến các dịch vụ trên nền Internet. 

Trong đó, các ngân hàng là nơi ứng dụng rộng rãi nhất của mã OTP bởi tính xác thực giao dịch đơn giản mà hiệu quả của nó. Tuy nhiên, càng đơn giản bao nhiêu, mã OTP lại càng dễ trở thành mục tiêu tấn công chiếm đoạt của tội phạm mạng bấy nhiêu.

Đó là lý do nhiều ngân hàng trên thế giới liên tục tìm cách cải tiến phương thức xác thực đa lớp (multi-authentication, MFA) kết hợp cùng mã OTP để giảm thiểu tối đa những phi vụ chiếm đoạt tài sản của người dùng. Trên thế giới hiện nay, các ngân hàng đang dùng gửi mã OTP kết hợp cùng/hoặc yêu cầu nhập mã PIN/mật khẩu và/hoặc xác thực sinh trắc học (giọng nói, vân tay, mống mắt, khuôn mặt) và/hoặc xác thực cứng (thẻ thông minh, USB chứa token)...

Các biện pháp xác thực càng nhiều, người dùng càng mất nhiều thời gian nhưng sẽ nâng cao tính bảo mật và định danh chính xác. Hiện nay những công ty công nghệ lớn như Google hay Facebook cũng chuyển sang sử dụng xác thực bắt buộc hai lớp (two-factor authentication, 2FA) khi tài khoản người dùng được liên kết với thẻ tín dụng và dễ bị tổn thương trước những vụ tấn công chiếm đoạt thẻ.

Mã OTP là gì và các ngân hàng Việt đang bảo mật ra sao?
Xác thực đa lớp (MFA) đang được sử dụng rộng rãi thay thế OTP.

Với các ngân hàng Việt Nam, khoảng vài năm trở lại đây, nhận ra sự sơ hở của mã OTP gửi về số điện thoại (gọi là SMS OTP), nhiều ngân hàng đã triển khai các biện pháp bảo mật tăng cường gọi là smart OTP. 

Về cơ bản, với smart OTP, người dùng sẽ phải tải ứng dụng tương ứng của ngân hàng, đăng nhập bằng mật khẩu (hoặc mã PIN) rồi sau đó phải xác thực bằng mã OTP gửi về chính ứng dụng đó, thay vì gửi về số điện thoại ở phương thức cũ SMS OTP. Phương pháp này cũng tương đương 2FA nói trên, theo các chuyên gia.

Trở lại trường hợp của ông Trần Việt Luận (TP.HCM) bốc hơi 406 triệu đồng trong tài khoản Vietcombank chỉ trong vòng 7 phút như đã nói từ đầu. Do không nhận được thông báo xác thực và biến động số dư nên ông này chỉ biết tiền đã ‘không cánh mà bay’ sau khi ra ngân hàng giao dịch.

 

Phía Vietcombank cho biết tài khoản của khách hàng này đã kích hoạt ứng dụng VCB Digibank trên thiết bị khác và gửi đi 4 tin nhắn xác thực, 4 tin nhắn thông báo số dư biến động. Như vậy, theo các chuyên gia, ông Luận có thể chưa từng sử dụng VCB Digibank hoặc là đã bị tin tặc chiếm đoạt số điện thoại gắn với tài khoản Internet Banking. 

Mã OTP là gì và các ngân hàng Việt đang bảo mật ra sao?
Biện pháp xác thực bằng smart OTP của Vietcombank.

Theo tìm hiểu của ICTnews, Vietcombank đang triển khai hình thức xác thực smart OTP trên ứng dụng VCB Digibank yêu cầu khớp mã giao dịch. Nhiều ngân hàng khác như SCB, VPBank, Tecombank, NCB... cũng triển khai những biện pháp bảo mật 2FA tương tự. Đặc biệt, MSB đã áp dụng 2FA kết hợp sinh trắc học. Vấn đề của các biện pháp bảo mật này là dù an toàn hơn SMS OTP nhưng phụ thuộc vào ý thức bảo mật thông tin cá nhân của người dùng cuối. 

Để chiếm đoạt tiền trong tài khoản kiểu này, tin tặc vừa phải biết được mật khẩu đăng nhập app, vừa phải có số điện thoại liên kết với tài khoản ngân hàng đúng với tài khoản đăng nhập vào app. Khả năng bị mất hết những thông tin này xảy ra khi người dùng bị lừa đăng nhập vào một trang web giả mạo, bị lừa nhập mã OTP lần đầu dẫn đến mất quyền truy cập vào tài khoản online ở lần sau mà hay không hề hay biết, theo các chuyên gia.

Các chuyên gia nhận định, biện pháp bảo mật smart OTP này, dù vậy vẫn đang đi sau thế giới. Theo quy định Chỉ thị Dịch vụ Thanh toán (PSD2) do Liên minh châu Âu ban hành năm 2019, dịch vụ tài chính bắt buộc phải có xác thực hai lớp, tiến tới ba lớp. Ba lớp này phải gồm một lớp mà người dùng biết (ví dụ mật khẩu), một lớp mà người dùng sở hữu (ví dụ thẻ, USB) và một lớp định danh người dùng (ví dụ giọng nói, vân tay, khuôn mặt). 

Mã OTP nói chung đang dần bị thay thế trên toàn thế giới và nhường chỗ cho các loại xác thực đa lớp khác. Báo cáo của M&M dự báo thị trường xác thực đa lớp sẽ đạt giá trị 12,5 tỷ USD vào năm 2022 với dự báo tăng trưởng hàng năm đạt 15,52%.

Phương Nguyễn

Vụ “hack” 400 triệu trong tài khoản ngân hàng: Có nên bảo mật bằng mã OTP?

Vụ “hack” 400 triệu trong tài khoản ngân hàng: Có nên bảo mật bằng mã OTP?

Theo ông Nguyễn Tử Quảng, việc bảo mật bằng mã OTP có những điểm yếu nhất định. Đây là nguyên nhân dẫn tới những vụ trừ tiền tài khoản ngân hàng thời gian qua.  

Chủ đề : bảo mật
 
List comment
 
Đề xuất phạt tới 100 triệu đồng với vi phạm về đăng ký xử lý dữ liệu cá nhân nhạy cảm
icon

Theo đề xuất của Bộ Công an tại dự thảo Nghị định quy định về bảo vệ dữ liệu cá nhân, mức phạt dành cho hành vi vi phạm quy định về đăng ký xử lý dữ liệu cá nhân nhạy cảm từ 80 đến 100 triệu đồng.

 
Người Singapore lo lắng về quyền riêng tư trong chương trình học trực tuyến
icon

Theo quy định của chương trình học trực tuyến ở Singapore, máy tính của học sinh phải cài đặt các phần mềm quản lý thiết bị. Phần mềm quản lý này cho phép giáo viên xem và điều khiển màn hình của học sinh từ xa.

 
Cảnh báo phương thức dùng BTS giả mạo phát tán tin nhắn lừa người dùng ngân hàng
icon

Theo Cục An toàn thông tin, các tin nhắn mạo danh tổ chức tài chính, ngân hàng để gửi những nội dung giả mạo, lừa đảo người dùng thời gian gần đây đã được kẻ xấu phát tán qua các thiết bị phát sóng di động (BTS) giả mạo.

 
Học theo cách hack trên Youtube, cậu bé 11 tuổi… tống tiền cha mình
icon

Một người đàn ông sống tại Ấn Độ đã có một phen 'tá hỏa' khi nhận được email tống tiền từ một nhóm tin tặc, nhưng cuối cùng, thủ phạm đứng sau vụ việc lại chính là con trai 11 tuổi của mình.

 
Tin nhắn lừa đảo hoành hành, cảnh giác không 'bay' luôn thưởng Tết
icon

Bằng việc gửi hàng loạt tin nhắn mạo danh các ngân hàng, kẻ xấu có thể lừa nhiều người cung cấp tên đăng nhập, mật khẩu, mã OTP của các dịch vụ ngân hàng mà họ không hề hay biết.  

 
 
Cận Tết, hacker gia tăng lừa đảo các giao dịch ngân hàng, ví điện tử
icon

Theo các chuyên gia, lợi dụng thời gian cận Tết nguyên đán 2021 nhu cầu giao dịch, thanh toán trực tuyến, tặng quà hoặc lì xì online tăng mạnh, nhiều nhóm hacker đang gia tăng hoạt động lừa đảo nhắm vào người dùng các dịch vụ banking, ví điện tử.

Đường dây nóng bảo vệ trẻ em trên môi trường mạng
icon

Tại Việt Nam, 720.000 bức ảnh về lạm dụng tình dục trẻ em được gửi lên mạng mỗi ngày, hơn 706.000 trường hợp lạm dụng trẻ em trên mạng được báo cáo vào năm 2018.  

Thông tin 'điều trị Covid-19 tại nhà' trên Facebook là sai sự thật
icon

Theo cơ quan chức năng, việc điều trị Covid-19 tại nhà là không có cơ sở khoa học. Người dân cần thận trọng khi tiếp nhận và chia sẻ thông tin này.   

Đại hội Đảng XIII đã được đảm bảo an toàn thông tin tuyệt đối
icon

Với sự đồng hành, liên hiệp của các đơn vị chuyên trách của 3 Bộ: Thông tin và Truyền thông, Quốc phòng, Công an cùng các doanh nghiệp, an toàn, an ninh mạng của kỳ Đại hội Đảng lần thứ XIII đã được đảm bảo an toàn tuyệt đối.

Bảo vệ trẻ trên môi trường Internet trong giai đoạn giãn cách
icon

Trẻ em dễ bị lạm dụng Internet hoặc bị bắt nạt online khi lên mạng trong giai đoạn giãn cách, do đó phụ huynh cần có biện pháp bảo vệ thích hợp.

 
123

Giấy phép hoạt động báo chí: Số 09/GP-BTTTT, Bộ Thông tin và Truyền thông cấp ngày 07/01/2019.

Tòa soạn: Tầng 7, Tòa nhà Cục Tần số Vô tuyến điện, 115 Trần Duy Hưng, Quận Cầu Giấy, Hà Nội

Điện thoại: 024 3 936 9966 - Fax: 024 3 936 9364

Hotline nội dung: 0888 911 911 - Email: toasoan@ictnews.vn

123