Whitehat cảnh báo nguy cơ 'mất tiền oan' từ tin nhắn OTP

Cộng đồng Whitehat cảnh báo có nhiều nạn nhân bị đánh cắp tiền trong tài khoản ngân hàng dựa trên khai thác điểm yếu của phương pháp bảo mật SMS OTP.

Rạng sáng nay (6/10), diễn đàn Whitehat (hacker mũ trắng) tại Việt Nam đã đăng tải một thông tin thu hút sự quan tâm lớn của cộng đồng trong nước.

Trong bài viết đề cập tới tình trạng một vài chủ tài khoản ngân hàng đã trở thành nạn nhân bị đánh cắp số tiền lớn, có người lên tới vài trăm triệu đồng, mà không hề hay biết.

Mấu chốt của vấn đề là trong khi nạn nhân cho biết không hề nhận được tin nhắn thông báo mã xác thực, biến động số dư bằng SMS qua điện thoại như thông lệ, nhưng các giao dịch chuyển khoản bằng một cách nào đó vẫn diễn ra hợp lệ sau khi chấp nhận mã OTP (không xuất hiện) trên điện thoại của chủ tài khoản.

Lỗ hổng bảo mật từ tin nhắn OTP

Whitehat cảnh báo nguy cơ mất tiền oan từ tin nhắn OTP - 1

Một trường hợp cụ thể đã diễn ra chiều ngày 04/10, khi nhiều trang tin rộ lên sự việc một chủ tài khoản Vietcombank phát hiện mình bị “bốc hơi” 406 triệu đồng trong tài khoản.

Theo thông tin được đăng tải, tài khoản của nạn nhân được xác định có 4 giao dịch phát sinh, lần lượt chuyển toàn bộ số tiền bị mất nói trên đến các tài khoản thuộc 2 ngân hàng khác trong vòng 7 phút.

Giống như đã đề cập ở phần trên, chủ tài khoản khẳng định bản thân không nhận được thông báo, không thực hiện các giao dịch trên và cũng không biết người thụ hưởng là ai.

Theo Whitehat, lỗ hổng ở đây chính là điểm yếu công nghệ trong phương thức xác thực SMS OTP, nơi mà kẻ xấu đã lợi dụng điều này để tấn công lừa đảo (còn gọi 'phishing') mà nạn nhân không hề hay biết.

Whitehat cảnh báo nguy cơ mất tiền oan từ tin nhắn OTP - 2

Diễn tập quốc tế về phòng, chống tấn công mạng giữa 10 nước ASEAN và Nhật Bản tại Việt Nam vào tháng 6/2020.

Có 2 kịch bản được Whitehat đề cập, cho phép hacker có thể dựng lên để lừa người sử dụng như sau:

Ở kịch bản đầu tiên, kẻ xấu sẽ lừa nạn nhân nhập mã OTP vào một website giả mạo (ngân hàng, dịch vụ chuyển tiền…) để chiếm mã OTP, từ đó tạo ra giao dịch chuyển tiền giả mạo.

 

Đối với kịch bản thứ hai, kẻ xấu sẽ lừa nạn nhân cài đặt một phần mềm gián điệp trên điện thoại. Phần mềm này sẽ theo dõi tất cả thông tin, trong đó có tin nhắn SMS chứa mã OTP và các thông tin đăng nhập vào ứng dụng Mobile Banking. Một khi lấy được các thông tin này, hacker sẽ có thể tạo ra các giao dịch chuyển tiền giả mạo.

Người dùng - hay ngân hàng sẽ chịu trách nhiệm?

Trao đổi với cộng đồng Whitehat, ông Ngô Tuấn Anh, Phó chủ tịch phụ trách an ninh mạng của Bkav chia sẻ: "Việc quy trách nhiệm ngân hàng đúng hay khách hàng đúng, sẽ không thể xử lý được triệt để bởi OTP là công nghệ không có tính ‘chống chối bỏ’, nghĩa là không có khả năng xác định chính xác và quy trách nhiệm ai thực hiện giao dịch".

Bên cạnh đó, Việt Nam cũng chưa có khung pháp lý phù hợp để áp dụng cho trường hợp cụ thể người dùng - là nạn nhân, bị đánh cắp tiền dựa trên xác thực mã OTP giả. Do đó, sẽ rất khó để quy luận rằng bên nào sẽ phải chịu trách nhiệm về số tiền đánh mất (trong trường hợp không tìm thấy kẻ thực hiện hành vi đánh cắp). Ngân hàng cũng có quyền không bồi thường cho khách hàng, do về lí thuyết, giao dịch diễn ra hợp lệ dựa trên hệ thống OTP.

Một số chuyên gia công nghệ gợi ý rằng giải pháp duy nhất hiện nay đáp ứng về mặt công nghệ và pháp lý của chống chối bỏ là chữ ký số.

Tuy nhiên, giao dịch sử dụng chữ ký số hiện nay tại Việt Nam vẫn còn hạn chế, cụ thể giao dịch phải trên 500 triệu mới phải sử dụng phương pháp này. Do đó, đa số các giao dịch được thực hiện vẫn bảo mật dựa trên phương pháp SMS OTP.

Để đối phó với tình trạng này, các chuyên gia bảo mật từ Whitehat đưa lời khuyên rằng đối với người sử dụng, cần cảnh giác trước các chiêu thức tấn công lừa đảo của kẻ xấu, đồng thời chuẩn bị sẵn phương án đối phó.

Những biện pháp tự phòng vệ khả dĩ nhất được đưa ra đó là kiểm tra kỹ tên miền của website, không tải về các ứng dụng thanh toán lạ, không dùng mạng Wi-fi công cộng,... để thực hiện giao dịch trực tuyến.

Ngoài ra, người dùng nên cài đặt phần mềm diệt virus trên máy tính để chống đánh cắp dữ liệu website và cài phần mềm chống mã độc trên thiết bị di động để ngăn chặn các phần mềm gián điệp, chiếm quyền kiểm soát điện thoại.

(Theo Dân Trí)

Cảnh giác với thủ đoạn “hack” tài khoản ngân hàng trong chớp mắt

Cảnh giác với thủ đoạn “hack” tài khoản ngân hàng trong chớp mắt

Sau khi đăng nhập vào website giả mạo dịch vụ tài chính, ngân hàng, tiền trong tài khoản của nhiều người đã không cánh mà bay trong chớp mắt.

 
List comment
 
Điểm trúng tuyển ngành ATTT Học viện Kỹ thuật mật mã năm 2020 là 24,9
icon

Năm nay, điểm trúng tuyển vào ngành đào tạo an toàn thông tin (ATTT) hệ Dân sự của Học viện Kỹ thuật Mật mã là 24,9 điểm, tăng 3,4 điểm so với mức điểm trúng tuyển vào ngành này năm ngoái.

 
Threat Intelligence là gì, doanh nghiệp Việt có nên trang bị?
icon

Threat Intelligence giúp đi trước, phát hiện ra những mối nguy hại đe dọa đến các doanh nghiệp.

 
Bảo hiểm an ninh mạng, có cần thiết cho các doanh nghiệp Việt?
icon

Các doanh nghiệp vừa và nhỏ cần thiết phải có những công cụ để bảo vệ mình trước các cuộc tấn công mạng ngày càng tăng cao như hiện nay.

 
Đề xuất bổ sung yêu cầu về an toàn bảo mật với thiết bị thanh toán thẻ
icon

Để giảm thiểu rủi ro an ninh mạng, Ngân hàng Nhà nước đang đề xuất sửa đổi, bổ sung một số quy định yêu cầu kỹ thuật về an toàn bảo mật đối với trang thiết bị phục vụ thanh toán thẻ ngân hàng.

 
Ninh Thuận đã hoàn thành mô hình đảm bảo an toàn thông tin 4 lớp
icon

Ngày 2/10, UBND tỉnh Ninh Thuận cho biết địa phương này đã hoàn thành mô hình đảm bảo an toàn thông tin 4 lớp theo đúng hướng dẫn của Bộ TT&TT.

 
 
Hai thành viên của Team Xecuter bị bắt vì bán công cụ bẻ khóa Switch
icon

Tổ chức Team Xecuter nổi tiếng với việc bẻ khóa máy chơi game Nintendo và đã tung ra nhiều sản phẩm khiến các nhà sản xuất bị ảnh hưởng nghiêm trọng. 

Bí mật nhà nước là nội dung quan trọng trong bảo vệ an ninh quốc gia
icon

Hội nghị tập huấn công tác bảo vệ bí mật nhà nước năm 2020 của Bộ Nội vụ giải đáp những vướng mắc trong quá trình thực hiện và chia sẻ bài học kinh nghiệm thực tiễn về công tác bảo vệ bí mật nhà nước.  

Bảo vệ bí mật nhà nước là nhiệm vụ quan trọng đối với cán bộ ngành đường bộ
icon

Theo ông Nguyễn Xuân Cường, Phó Tổng cục trưởng Tổng cục Đường bộ Việt Nam, bảo vệ bí mật nhà nước là một nhiệm vụ quan trọng cho đối với cán bộ công chức ngành đường bộ và ảnh hưởng lớn đến công việc hàng ngày.

Bộ GTVT tuyên truyền về chiến dịch bóc gỡ mã độc cho hơn 10.000 cán bộ, nhân viên
icon

Toàn bộ hơn 10.000 cán bộ, nhân viên ngành Giao thông Vận tải (GTVT) sẽ được tuyên truyền về chiến dịch “Rà soát và bóc gỡ mã độc toàn quốc năm 2020”, từ đó góp phần tăng cường đảm bảo an toàn cho các hệ thống của ngành.

Bộ KH&CN triển khai chiến dịch rà quét xử lý mã độc năm 2020
icon

Bộ KH&CN vừa có văn bản gửi đến các đơn vị trực thuộc về việc triển khai chiến dịch rà quét xử lý mã độc năm 2020 do Cục ATTT (Bộ TT&TT) phát động.

 
123

Giấy phép hoạt động báo chí: Số 09/GP-BTTTT, Bộ Thông tin và Truyền thông cấp ngày 07/01/2019.

Tòa soạn: Tầng 7, Tòa nhà Cục Tần số Vô tuyến điện, 115 Trần Duy Hưng, Quận Cầu Giấy, Hà Nội

Điện thoại: 024 3 936 9966 - Fax: 024 3 936 9364

Hotline nội dung: 0888 911 911 - Email: toasoan@ictnews.vn

123