Đã đến lúc loại bỏ hình thức xác thực qua SMS OTP?

Những vụ mất tiền trong tài khoản ngân hàng thời gian gần đây đã dấy lên hồi chuông báo động về phương thức xác thực thanh toán bằng mã OTP gửi qua tin nhắn đến điện thoại (SMS OTP).

{keywords}
Xác thực giao dịch bằng SMS OTP vẫn còn phổ biến với giao dịch dưới 100 triệu đồng ở Việt Nam.

Đầu tháng 10, ông Trần Việt Luận (TP.HCM) tá hỏa khi phát hiện tài khoản ngân hàng của mình bốc hơi 406 triệu đồng chỉ trong vỏn vẹn 7 phút. Phía ngân hàng cho biết tài khoản của khách hàng đã kích hoạt ứng dụng trên thiết bị khác và gửi đi 4 tin nhắn xác thực, 4 tin nhắn thông báo số dư biến động.

Gần đây, đến lượt vợ của nạn nhân vụ thủy điện Rào Trăng 3 bị lừa 150 triệu đồng trong tài khoản ngân hàng. Do lần thứ ba giao dịch không thành công, chị Lê Thị Thu Thảo may mắn giữ lại được 50 triệu đồng. Phía ngân hàng sau đó hỗ trợ tạm ứng 100 triệu đồng cho nạn nhân và phối hợp với cơ quan điều tra mau chóng tìm ra thủ phạm. 

Cũng như các vụ lừa đảo khác, điểm chung là nạn nhân đều cung cấp thông tin cá nhân cho người lạ mà không chút mảy may nghi ngờ. Đến khi phát hiện điều bất thường xảy ra, họ mới tá hỏa khi thấy tiền trong tài khoản bốc hơi nhanh chóng.

Vấn đề cốt lõi của sự việc là hiện nay các ngân hàng vẫn áp dụng phương thức xác thực bằng SMS OTP đối với giao dịch dưới 100 triệu đồng. Kẻ gian vì thế lợi dụng kẽ hở để thực hiện nhiều lệnh chuyển khoản dưới hạn mức trong thời gian rất ngắn, lấy đi một số tiền lớn của nạn nhân. Rào cản duy nhất là hạn mức giao dịch thường là 100 triệu đồng/ngày. Tuy nhiên, hạn mức tối đa hoàn toàn có thể điều chỉnh được một khi kẻ gian nắm được đầy đủ thông tin đăng nhập. 

{keywords}
Vợ của nạn nhân vụ thủy điện Rào Trăng 3 bị trừ liên tục 50 triệu đồng trên hai giao dịch cách nhau chỉ 1 phút.

Phương thức bảo mật SMS OTP bị đánh giá là kém an toàn, không có tính ‘chống chối bỏ’ và từng được ông Nguyễn Tử Quảng (CEO BKAV) kiến nghị hạ thấp hạn mức giao dịch xuống, tiến tới loại bỏ công nghệ SMS OTP tại các ngân hàng ở Việt Nam giống như một số nước phát triển đang áp dụng.

Thực tế, với giao dịch trên 100 triệu đồng, phương thức xác thực phổ biến là các loại Soft OTP sử dụng xác thực bằng mã PIN hoặc sinh trắc học tùy từng ngân hàng. Còn với giao dịch trên 500 triệu đồng, các ngân hàng Việt Nam hiện nay đã áp dụng phương thức chữ ký số, xác thực bằng một thiết bị chứa token đi kèm mỗi tài khoản nhất định.

Các phương thức như Soft OTP tạo ra cơ chế bảo mật hai lớp (2FA) trong đó có một lớp mật khẩu đăng nhập ứng dụng, một lớp mã PIN với bàn phím hiển thị ngẫu nhiên được đánh giá là an toàn hơn SMS OTP. 

Dù vậy, người dùng có thể bị lừa nhập những thông tin này cho kẻ xấu nếu không cảnh giác hoặc không kích hoạt xác thực sinh trắc học (vân tay, khuôn mặt, mống mắt...). Tuy nhiên, một hạn chế là xác thực sinh trắc học phụ thuộc cả vào việc ngân hàng và thiết bị đầu cuối của người dùng có hỗ trợ hay không.

Theo các chuyên gia bảo mật, mã OTP khi sinh ra từ SMS có thể dễ dàng bị chặn lại bởi tin tặc, khiến người dùng không biết mình bị mất tiền cho đến khi nhận được thông báo biến động số dư trong tài khoản. Phương thức SMS OTP được phát minh từ những năm 80 của thế kỷ trước và hiện đã bị nhiều ngân hàng trên thế giới loại bỏ để thay bằng một số phương pháp hiện đại hơn.

Phương Nguyễn

Mã OTP là gì và các ngân hàng Việt đang bảo mật ra sao?

Mã OTP là gì và các ngân hàng Việt đang bảo mật ra sao?

Xoay quanh câu chuyện người dùng bị hack tài khoản, bốc hơi hơn 400 triệu đồng trong vòng vài phút, việc bảo mật của các ngân hàng lại trở thành vấn đề nóng.

Việt Nam là 1 trong 5 nước tìm kiếm nhiều nhất về “mật khẩu sử dụng một lần”

Để bảo đảm mật khẩu tài khoản đủ mạnh, nhiều người Việt lên mạng tìm hiểu về các công cụ tự tạo và lưu trữ mật khẩu.

Gã hacker khởi nguồn cho mọi rắc rối của Man City

100 cáo buộc Man City vi phạm các quy tắc tài chính của Premier League vốn có nguồn gốc từ những tài liệu mật bị hacker Rui Pinto phơi bày từng gây chấn động thế giới bóng đá.

Chuyên gia bảo mật Ngô Minh Hiếu được nhà mạng Mỹ vinh danh

Ngô Minh Hiếu hay Hiếu PC giờ đây đang làm tốt vai trò của một hacker mũ trắng khi liên tục được ghi nhận bởi nhiều tập đoàn công nghệ Mỹ.

Hỗ trợ xử lý 1.234 sự cố tấn công mạng vào hệ thống tại Việt Nam trong tháng 1

Trong tháng 1, Cục An toàn thông tin ghi nhận, cảnh báo và hướng dẫn xử lý 1.234 cuộc tấn công mạng gây ra sự cố vào các hệ thống thông tin tại Việt Nam, tăng 25,6% so với tháng 12/2022 và giảm 10,8% so với cùng kỳ năm ngoái.

Vai trò tối quan trọng của an ninh - bảo mật trong thời ‘Internet vạn vật’

Thế giới đã chứng kiến làn sóng tăng tốc triển khai các thiết bị kết nối mới. Tuy nhiên, tốc độ ứng dụng các thiết bị này được cho rằng có thể đe dọa các giao thức bảo mật cơ bản.

Chiêu lừa tiền người Việt của nhiều web tín dụng đen Trung Quốc

Theo các chuyên gia, đây thậm chí còn không phải website tín dụng đen đúng nghĩa. Đó đều là những trang web được kẻ xấu dựng lên nhằm lừa đảo nạn nhân chuyển tiền.

MK hợp tác cùng startup bảo mật SCS hỗ trợ doanh nghiệp, người dân an toàn trên mạng

Với thỏa thuận hợp tác mới ký kết, MK Group sẽ đồng hành cùng startup an toàn thông tin Smart Cyber Security (SCS) để hoàn thiện hệ sinh thái xác thực bảo mật và an toàn cho mọi hoạt động trực tuyến.

Thiếu hụt nhân sự, doanh nghiệp thuê ngoài dịch vụ giám sát bảo mật

Phải chuyển đổi số trong bối cảnh thiếu hụt nhân sự bảo mật, nhiều doanh nghiệp đang thuê ngoài các dịch vụ an toàn, an ninh mạng.

Rộ chiêu đánh cắp thông tin, chiếm đoạt tiền trong tài khoản ngày đầu năm mới

Đầu năm mới là thời điểm các đối tượng lừa đảo thường xuyên hoạt động. Các hình thức phổ biến trong dịp này là đánh cắp thông tin và chiếm đoạt tiền trong tài khoản.

Không xảy ra sự cố an toàn thông tin nghiêm trọng trong 7 ngày Tết Quý Mão

Trong đợt nghỉ tết Nguyên đán Quý Mão 2023 vừa qua, Cục An toàn thông tin, Bộ TT&TT đã hỗ trợ ứng cứu 41 sự cố an toàn thông tin. Các sự cố này đều ở mức trung bình và thấp, không gây hậu quả.

Đang cập nhật dữ liệu !