Từ vụ khách mất 400 triệu đồng, ngân hàng có nên gửi OTP qua SMS?

Phương thức nhận mã bảo mật qua tin nhắn (SMS) đã nhiều lần bị hacker khai thác để lừa đảo, chiếm đoạt số tiền lớn.

Cuối tuần qua, một người dùng tại TP.HCM cho biết mình đã bị chuyển mất hơn 400 triệu trong tài khoản dù không biết giao dịch xảy ra vào lúc nào.

Trả lời báo chí, ông Trần Việt Luận, trú tại quận Thủ Đức, TP.HCM cho biết sự việc xảy ra vào ngày 4/9. Theo đó, thông qua ứng dụng Digibank của Vietcombank, số tiền 406 triệu trong tài khoản của ông Luận được chuyển tới 2 tài khoản ở các ngân hàng khác trong 4 giao dịch.

Mất hơn 400 triệu mà không hề hay biết

Ông Luận cho biết mình không hề thực hiện các giao dịch này, và cũng không biết những người thụ hưởng là ai. Phải tới chiều cùng ngày, khi ra ngân hàng thì chủ tài khoản mới biết đã bị mất tiền.

Trong khi nạn nhân cho biết không nhận được tin nhắn (SMS) của ngân hàng thông báo mã xác thực hay thay đổi số dư trong tài khoản, thì ngân hàng lại cho rằng cả 4 giao dịch đều hợp lệ, đã có 8 tin nhắn được gửi tới số điện thoại của chủ tài khoản.

vi sao tai khoan ngan hang bi hack anh 1

Theo Vietcombank, để kích hoạt dịch vụ Digibank và mở Smart OTP đều phải xác thực qua tin nhắn.

Trong công văn phản hồi vụ việc của ông Luận, theo Vietcombank thì tài khoản trên ứng dụng VCB Digibank của nạn nhân đã được kích hoạt, thực hiện lệnh chuyển tiền trên một thiết bị khác. Ông Luận cho rằng mình không cung cấp, chia sẻ tài khoản hay mật khẩu cho ai.

Theo quy trình của Vietcombank, khi khách hàng chuyển đổi ứng dụng Digibank sang một thiết bị mới và muốn kích hoạt Smart OTP (mã bảo mật bên trong ứng dụng, không cần nhận qua SMS), họ sẽ phải xác thực từng bước một bằng hình thức nhập OTP qua SMS.

Sau khi tra soát, Vietcombank cho biết hệ thống đã gửi tin nhắn chứa mã xác thực tới số điện thoại của khách hàng 2 lần để kích hoạt Digibank và Smart OTP, và cả 2 lần mã xác thực đều được nhập chính xác.

Tiếp sau đó, hệ thống yêu cầu người dùng phải thực hiện 2 giao dịch với hình thức xác thực OTP qua SMS mới có thể dùng Smart OTP. Ở khâu này, đối tượng tiếp tục nhập đúng mã xác thực và chuyển 89 triệu cho một tài khoản tại Ngân hàng Đông Nam Á (SEA Bank).

Sau khi dùng được tính năng Smart OTP trên thiết bị mới, đối tượng thực hiện 2 giao dịch, chuyển 317 triệu đồng tới tài khoản tại Ngân hàng Hàng hải Việt Nam (MSB).

Cần loại bỏ xác thực OTP SMS khỏi các giao dịch ngân hàng

Dựa trên công văn của Vietcombank, có thể thấy đối tượng lừa đảo đã phải chiếm được quyền kiểm soát, đọc tin nhắn điện thoại của ông Luận mới có thể nhập đúng OTP qua SMS tới 4 lần.

 

Lý giải về vụ hack này, chuyên gia bảo mật cho rằng lỗ hổng trong phương thức xác thực SMS OTP chính là điểm yếu được hacker tận dụng.

vi sao tai khoan ngan hang bi hack anh 2

Vào tháng 6, Bkav cũng cảnh báo về ứng dụng chạy ẩn trên các trang web giả mạo Bộ Công an, có khả năng thu thập dữ liệu của người dùng khi cài vào máy. Ảnh: Bkav.

Trong bài viết trên diễn đàn bảo mật Whitehat, nhóm chuyên gia an ninh mạng của Bkav cho rằng có 2 kịch bản mà hacker có thể dựng lên để lừa người sử dụng. Trong đó, kịch bản đầu tiên là kẻ xấu lừa nạn nhân nhập OTP và website giả mạo để chiếm mã OTP, từ đó tạo ra giao dịch chuyển tiền giả.

Kịch bản thứ hai là kẻ xấu lừa nạn nhân cài phần mềm gián điệp trên điện thoại, có khả năng theo dõi mọi thông tin, bao gồm cả tin nhắn chứa mã OTP và thông tin đăng nhập vào ứng dụng ngân hàng. Với các thông tin này, hacker có thể tự thực hiện giao dịch chuyển tiền.

Tuy vậy, một số chuyên gia an ninh quốc tế lại cho rằng thiết bị người dùng có thể đã không bị chiếm quyền.

"Theo thông báo từ ngân hàng, tài khoản đã bị ăn cắp và đăng nhập ở một thiết bị mới, nên có vẻ không phải nạn nhân bị 'điều khiển từ xa'", Phạm Văn Toàn, chuyên gia về bảo mật đang làm việc tại một tập đoàn công nghệ ở Singapore chia sẻ với Zing.

Theo chuyên gia Phạm Văn Toàn, với hình thức gửi OTP qua SMS, có đến 3 phía có thể bị tấn công gồm: ngân hàng, nhà mạng và người dùng.

Ở phía người dùng, có thể điện thoại bị cài các ứng dụng bên thứ 3 có quyền đọc tin nhắn. Về phía ngân hàng, có thể giải thuật cấp OTP của họ đã bị đoán được hoặc server bị hack.

Trong khi đó, thông tin truyền giữa các cột sóng của nhà mạng có thể đã bị giải mã, server nhà mạng bị hack hoặc thậm chí SIM vật lý của người dùng đã bị sao chép.

"Hình thức OTP qua SMS đã không còn an toàn bởi nó có đến 3 bên có thể bị tấn công", Nguyễn Trí Đức, chuyên gia an ninh mạng đang làm việc tại Mỹ cho biết.

Theo ông Đức, các ngân hàng có thể tham khảo các công cụ tạo mã xác thực như Google Authenticator hay Duo Mobile. "Những trình tạo mã này không cần Internet, không cần nhận tin nhắn, từ đó loại bỏ các yếu tố can thiệp bên ngoài", ông Đức nói thêm.

(Theo Zing)

Vụ “hack” 400 triệu trong tài khoản ngân hàng: Có nên bảo mật bằng mã OTP?

Vụ “hack” 400 triệu trong tài khoản ngân hàng: Có nên bảo mật bằng mã OTP?

Theo ông Nguyễn Tử Quảng, việc bảo mật bằng mã OTP có những điểm yếu nhất định. Đây là nguyên nhân dẫn tới những vụ trừ tiền tài khoản ngân hàng thời gian qua.  

Chủ đề : vietcombank
 
List comment
 
Đề xuất phạt tới 100 triệu đồng với vi phạm về đăng ký xử lý dữ liệu cá nhân nhạy cảm
icon

Theo đề xuất của Bộ Công an tại dự thảo Nghị định quy định về bảo vệ dữ liệu cá nhân, mức phạt dành cho hành vi vi phạm quy định về đăng ký xử lý dữ liệu cá nhân nhạy cảm từ 80 đến 100 triệu đồng.

 
Không xảy ra sự cố an toàn thông tin nghiêm trọng trong kỳ nghỉ Tết nguyên đán 2021
icon

Theo Trung tâm giám sát an toàn không gian mạng quốc gia (NCSC), trong kỳ nghỉ Tết Nguyên đán Tân Sửu 2021, không ghi nhận sự cố nghiêm trọng, tuy nhiên vẫn có 129 sự cố tấn công mạng thông thường, giảm gần 28% so với Tết 2020.

 
Người Singapore lo lắng về quyền riêng tư trong chương trình học trực tuyến
icon

Theo quy định của chương trình học trực tuyến ở Singapore, máy tính của học sinh phải cài đặt các phần mềm quản lý thiết bị. Phần mềm quản lý này cho phép giáo viên xem và điều khiển màn hình của học sinh từ xa.

 
Cảnh báo phương thức dùng BTS giả mạo phát tán tin nhắn lừa người dùng ngân hàng
icon

Theo Cục An toàn thông tin, các tin nhắn mạo danh tổ chức tài chính, ngân hàng để gửi những nội dung giả mạo, lừa đảo người dùng thời gian gần đây đã được kẻ xấu phát tán qua các thiết bị phát sóng di động (BTS) giả mạo.

 
Học theo cách hack trên Youtube, cậu bé 11 tuổi… tống tiền cha mình
icon

Một người đàn ông sống tại Ấn Độ đã có một phen 'tá hỏa' khi nhận được email tống tiền từ một nhóm tin tặc, nhưng cuối cùng, thủ phạm đứng sau vụ việc lại chính là con trai 11 tuổi của mình.

 
 
Tin nhắn lừa đảo hoành hành, cảnh giác không 'bay' luôn thưởng Tết
icon

Bằng việc gửi hàng loạt tin nhắn mạo danh các ngân hàng, kẻ xấu có thể lừa nhiều người cung cấp tên đăng nhập, mật khẩu, mã OTP của các dịch vụ ngân hàng mà họ không hề hay biết.  

Cận Tết, hacker gia tăng lừa đảo các giao dịch ngân hàng, ví điện tử
icon

Theo các chuyên gia, lợi dụng thời gian cận Tết nguyên đán 2021 nhu cầu giao dịch, thanh toán trực tuyến, tặng quà hoặc lì xì online tăng mạnh, nhiều nhóm hacker đang gia tăng hoạt động lừa đảo nhắm vào người dùng các dịch vụ banking, ví điện tử.

Đường dây nóng bảo vệ trẻ em trên môi trường mạng
icon

Tại Việt Nam, 720.000 bức ảnh về lạm dụng tình dục trẻ em được gửi lên mạng mỗi ngày, hơn 706.000 trường hợp lạm dụng trẻ em trên mạng được báo cáo vào năm 2018.  

Thông tin 'điều trị Covid-19 tại nhà' trên Facebook là sai sự thật
icon

Theo cơ quan chức năng, việc điều trị Covid-19 tại nhà là không có cơ sở khoa học. Người dân cần thận trọng khi tiếp nhận và chia sẻ thông tin này.   

Đại hội Đảng XIII đã được đảm bảo an toàn thông tin tuyệt đối
icon

Với sự đồng hành, liên hiệp của các đơn vị chuyên trách của 3 Bộ: Thông tin và Truyền thông, Quốc phòng, Công an cùng các doanh nghiệp, an toàn, an ninh mạng của kỳ Đại hội Đảng lần thứ XIII đã được đảm bảo an toàn tuyệt đối.

 
123

Giấy phép hoạt động báo chí: Số 09/GP-BTTTT, Bộ Thông tin và Truyền thông cấp ngày 07/01/2019.

Tòa soạn: Tầng 7, Tòa nhà Cục Tần số Vô tuyến điện, 115 Trần Duy Hưng, Quận Cầu Giấy, Hà Nội

Điện thoại: 024 3 936 9966 - Fax: 024 3 936 9364

Hotline nội dung: 0888 911 911 - Email: toasoan@ictnews.vn

123