Đã đến lúc ngân hàng bỏ SMS OTP
Giải pháp thay thế việc nhận mã OTP qua SMS đã có từ lâu. Tuy vậy, nhiều người dùng vẫn quen thuộc với SMS truyền thống, vốn không còn an toàn trong thời đại số.
Phương thức xác thực mã OTP qua SMS từ lâu được người dùng Việt quen thuộc và sử dụng phổ biến. Nhiều ngân hàng tại Việt Nam đang sử dụng công nghệ này, song song với những phương thức mới.
Tuy vậy, phương thức bảo mật này có thể đã đến lúc không còn đáng tin cậy nữa.
Người dùng mất tiền trong tài khoản, ngân hàng bị mạo danh
“Việc sử dụng số điện thoại di động chứa nhiều rủi ro. Nếu mã OTP được gửi qua SMS, tất cả những gì tin tặc cần làm là chiếm quyền sở hữu số điện thoại của bạn”, nhà cung cấp giải pháp bảo mật Protectimus cho biết.
Phương thức liên lạc tài chính qua SMS chứa nhiều lỗ hổng dễ bị hacker khai thác.
Tháng 9/2019, Cơ quan điều tra liên bang Mỹ (FBI) đã phát đi một cảnh báo an ninh cho các đối tác về những vụ tấn công vượt qua hình thức xác thực nhiều lớp (Multi-factor authentication hay MFA).
Tại Việt Nam, tháng 10/2020, một người dùng tại TP.HCM cho biết mình đã bị chuyển mất hơn 400 triệu trong tài khoản dù không biết giao dịch xảy ra vào lúc nào.
Trong khi nạn nhân cho biết không nhận được tin nhắn (SMS) của ngân hàng thông báo mã xác thực hay thay đổi số dư trong tài khoản, thì ngân hàng lại cho rằng cả 4 giao dịch đều hợp lệ, đã có 8 tin nhắn được gửi tới số điện thoại của chủ tài khoản.
Gần đây nhất là vụ việc một khách hàng nữ tại TP.HCM đã bị lừa mất 38 triệu đồng vì làm theo tin nhắn từ đầu số ngân hàng. Cụ thể, tin nhắn lừa đảo chứa liên kết dẫn đến trang giả mạo ngân hàng. Đáng chú ý, tin nhắn lừa đảo này được gộp vào luồng tin nhắn thông báo biến động tài khoản trước đây của nạn nhân.
Sau vụ việc trên, hàng loạt đầu số thương hiệu từ các tổ chức tài chính cũng bị lạm dụng để gửi đi nhưng tin nhắn lừa đảo. Nhiều ngân hàng đã lên tiếng cảnh báo khách hàng không tin và làm theo nội dung tin nhắn lừa đảo kể cả khi chúng “được gửi từ đầu số ngân hàng”.
Ngân hàng nên từ bỏ gửi tin nhắn qua SMS?
“Tôi nghĩ việc gửi thông tin tới khách hàng bằng tin nhắn đã không còn được tin cậy nữa. Ngân hàng nên chuyển hình thức liên lạc khác với khách hàng. Một là đảm bảo tất cả tin nhắn đều phải đáng tin, chứ không thể tồn tại trạng thái nửa tin nửa ngờ được”, Trí Đức, chuyên gia bảo mật đang làm việc tại Mỹ cho biết.
Theo ông Phạm Văn Toàn, chuyên gia bảo mật một tập đoàn lớn tại Singapore với hình thức gửi OTP qua SMS, có đến 3 phía có thể bị tấn công gồm: ngân hàng, nhà mạng và người dùng.
Video đang HOT
Với SMS, có đến ba bên có thể trở thành mục tiêu của hacker.
Ở phía người dùng, có thể điện thoại bị kẻ xấu lén cài các ứng dụng bên thứ 3, có quyền đọc tin nhắn. Hoặc người dùng vô tình tải những phần mềm chữa mã độc.
Về phía ngân hàng, có thể giải thuật cấp OTP của họ đã bị hacker đoán ra, hoặc server bị hack. Kịch bản này tuy khó, nhưng không thể loại trừ.
Trong khi đó, thông tin truyền giữa các cột sóng của nhà mạng cũng có thể bị giải mã, server nhà mạng bị hack hoặc thậm chí SIM vật lý của người dùng bị sao chép.
Nên dùng SmartOTP và tin nhắn OTT thông qua ứng dụng di động
Vậy nếu không dùng OTP qua SMS thì phương thức nào sẽ thay thế?
Đây là câu hỏi không mới và các ngân hàng tại Việt Nam đã có giải pháp từ nhiều năm trước.
Từ năm 2019, BIDV, Vietcombank, VietinBank và một số ngân hàng tại Việt Nam đã chuyển sang phương thức xác thực mới có tên Smart OTP. Cách này khắc phục hầu hết nhược điểm mà các phương thức khác gặp phải.
Chẳng hạn, với SMS OTP, người dùng có thể bị hạn chế khi chuyển vùng nước ngoài, có thể bị xâm nhập có chủ đích từ hacker. Trong khi đó, phương thức Token Key (sử dụng thiết bị tạo mã khi giao dịch) là thiết bị rời, dễ bị thất lạc hoặc đánh cắp.
Trong khi đó, Smart OTP được tích hợp trực tiếp trên thiết bị di động, có khả năng tạo ra mã xác thực OTP không cần kết nối mạng Internet. Người dùng cũng có thể sử dụng bình thường khi khách hàng di chuyển ra nước ngoài hoặc điện thoại mất sóng.
Mã OTP được sinh ra ngẫu nhiên, duy nhất, không trùng lặp. Người dùng chỉ cần đăng nhập vào ứng dụng, tạo mật khẩu. Khi cần chuyển tiền, người dùng mở ứng dụng ngân hàng, nhập mật khẩu và nhận mã OTP.
Đối với tin nhắn khác từ ngân hàng (không phải thông báo mã OTP), người dùng có thể đăng ký nhận tin nhắn thông qua ứng dụng Mobile. Khi gặp các sự cố, tin nhắn hù dọa liên quan đến tài khoản ngân hàng, người dùng chỉ cần sử dụng app trên di động và gọi đến đường dây nóng để kiểm chứng.
Vì sao các ngân hàng nước ngoài dần tử bỏ gửi tin nhắn OTP?
Các ngân hàng lớn trên thế giới từ lâu đã coi phương thức gửi mã OTP qua SMS là lỗ hổng cho tin tặc lợi dụng hòng chiếm đoạt tài sản.
Ngày 4/9, ông Trần Việt Luận, một khách hàng của Vietcombank đã trở thành nạn nhân của tin tặc chiếm đoạt tài sản. Trả lời báo chí, ông Luận cho biết tuy không thực hiện giao dịch hay nhận được mã OTP, hacker vẫn lấy cắp của ông 406 triệu đồng trong tài khoản ngân hàng.
Trong công văn phản hồi vụ việc, Vietcombank cho biết tài khoản trên ứng dụng VCB Digibank của nạn nhân đã bị kích hoạt, thực hiện lệnh chuyển tiền trên một thiết bị khác. Phía ngân hàng cũng dẫn văn bản của nhà mạng xác nhận đã có 8 tin nhắn được gửi tới số điện thoại của ông Luận, cả 4 giao dịch chuyển tiền đều hợp lệ.
Một số chuyên gia nhận định nạn nhân đã bị tấn công bằng hình thức "tráo SIM", trong đó kẻ tấn công chiếm quyền sử dụng SIM, nhận tin nhắn hay cuộc gọi của người dùng.
Dựa vào các thông tin được hai bên cung cấp, các chuyên gia bảo mật cho rằng sơ hở để hacker tấn công không phải ở thiết bị người dùng mà có thể là khâu xác thực bằng SMS.
"Theo thông báo từ ngân hàng, tài khoản đã bị ăn cắp và đăng nhập ở một thiết bị mới, nên có vẻ không phải nạn nhân bị 'điều khiển từ xa'", Phạm Văn Toàn, chuyên gia về bảo mật đang làm việc tại một tập đoàn công nghệ ở Singapore chia sẻ với Zing.
Nguy hiểm, rủi ro và lỗi thời
Phương thức xác thực mã OTP qua SMS vốn được sử dụng rộng rãi trên khắp thế giới. Nhiều ngân hàng tại Việt Nam vẫn đang sử dụng công nghệ này. Ngoài ra, các tổ chức, doanh nghiệp lớn như Facbook cũng đặt niềm tin vào công nghệ xác thực 2 yếu tố gửi mã OTP qua SMS cho mục đích bảo mật.
Tuy nhiên, tin tặc giờ đây đã có nhiều cách cách đánh cắp mã xác thực gửi qua SMS của nạn nhân.
Tháng 1/2017, nước Đức chứng kiến cú sốc lớn khi hacker tấn công các tài khoản ngân hàng trong nước. Tin tặc đã khai thác thành công giao thức SS7, một phần quan trọng của mạng di động, để lấy cắp mã xác thực 2 yếu tố được gửi bằng SMS.
FBI, Europol đều cảnh báo về hình thức tấn công tráo SIM.
"Việc sử dụng số điện thoại di động chứa nhiều rủi ro. Nếu mã OTP được gửi qua SMS, tất cả những gì tin tặc cần làm là chiếm quyền sở hữu số điện thoại của bạn", nhà cung cấp giải pháp bảo mật Protectimus cho biết.
Tháng 9/2019, Cơ quan điều tra liên bang Mỹ (FBI) đã phát đi một cảnh báo an ninh cho các đối tác về những vụ tấn công vượt qua hình thức xác thực nhiều lớp (Multi-factor authentication hay MFA).
"FBI đã nhận thấy những kẻ tấn công mạng vượt qua MFA bằng nhiều cách tấn công vận dụng kỹ thuật hay khai thác sơ hở của người dùng", ZDNet trích báo cáo của FBI.
Trong đó, hình thức được đặc biệt lưu ý là tráo SIM, tấn công vào các trang web xác thực nhiều lớp, và sử dụng các phương thức lừa đảo như Muraen hay NecroBrowser.
FBI mô tả vụ tráo SIM vào năm 2016, khi kẻ tấn công gọi điện lên nhà mạng, khai thác các thông tin của người dùng để chuyển quyền sử dụng số điện thoại của nạn nhân vào máy của kẻ tấn công.
Sau đó, hắn dùng chính số điện thoại này để gọi lên ngân hàng, yêu cầu thực hiện lệnh chuyển tiền và cung cấp mã xác thực được gửi vào SIM. Kẻ tấn công còn đổi mã PIN thẻ tín dụng của nạn nhân để gán vào một ví điện tử của hắn.
Những vụ tấn công tương tự được báo cáo liên tục vào năm 2018 và 2019. Các nạn nhân đều cho biết mình bị mất số điện thoại, mất sạch tiền trong tài khoản ngân hàng và bị đổi mật khẩu ứng dụng hoặc mã PIN thẻ. Rất nhiều vụ sử dụng kỹ thuật khai thác sơ hở, còn được gọi là social engineering, để yêu cầu nhà mạng chuyển SIM sang thiết bị của kẻ tấn công.
Ngân hàng dùng công nghệ gì để thay thế?
Trên thực tế, nhiều ngân hàng trên thế giới, đặc biệt ở các nước phát triển đã thay thế phương thức xác thực lỗi thời này.
Tại châu Âu , nhiều ngân hàng Đức như Postbank, Raiffeisen, Volksbank,...đã dừng gửi OTP qua SMS. Luật pháp của Liên minh châu Âu EU cũng quy định trong Chỉ thị về dịch vụ thanh toán mới (PSD2) vào năm 2019, phương thức gửi OTP qua SMS không đáp ứng được yêu cầu của EU.
Thay vì chọn gửi mã OTP thông qua SMS, nhiều ngân hàng trên thế giới đã chuyển sang dùng chữ ký số, nhận diện sinh trắc học làm phương thức xác thực an toàn hơn.
Chữ ký số sử dụng khá đơn giản, dễ dàng với người dùng cuối ngay cả khi họ không hiểu rõ về mặt kỹ thuật. Quá trình trình ký và xác thực nhanh không ảnh hưởng nhiều đến tốc độ đặc biệt trong giao dịch điện tử. Theo diễn đàn Whitehat, chữ ký số nên được sử dụng rộng rãi tại các ngân hàng hiện nay. Khác với mã OTP, chữ ký số đảm bảo 3 tính chất là tính toàn vẹn, tính xác thực và tính chống chối bỏ.
Chia sẻ với Zing, anh Đ.Đ.T, công dân Việt Nam đang sinh sống và làm việc tại Hàn Quốc cho biết sau khi mở tài khoản ngân hàng tại đây, khách hàng sẽ được cung cấp thêm thẻ bảo an, một dạng chữ ký số.
"Khi cài ứng dụng của ngân hàng bạn bắt buộc phải cài thêm app chống tin tặc. Nếu gỡ app này ra thì giao dịch trên điện thoại của bạn sẽ không thể thực hiện được nữa. Ngoài ra khi bạn giao dịch chuyển khoản tới bất kỳ tài khoản khác đều phải sử dụng thẻ bảo an", anh T chia sẻ.
Thẻ bảo an chứa mã OTP được ngân hàng tại Hàn Quốc phát.
Theo ông Nguyễn Tử Quảng, CEO của Bkav, công ty đã nhiều lần tư vấn cho Ngân hàng Nhà nước Việt Nam sử dụng công nghệ chữ ký số thay thế SMS OTP. Mặc dù Ngân hàng Nhà nước Việt Nam đã có quy định bắt buộc áp dụng với tất cả ngân hàng, hạn mức để sử dụng chữ ký số của ngân hàng vẫn còn ở mức cao, 500 triệu đối với Ngân hàng Nhà nước Việt Nam.
"Để khắc phục những trường hợp lừa đảo như thế này, tôi kiến nghị phải hạ thấp hạn mức giao dịch xuống, tiến tới loại bỏ công nghệ SMS OTP tại ngân hàng ở Việt Nam giống như một số nước phát triển", Ông Quảng chia sẻ trong bài đăng trên Facebook.
Trong một báo cáo bảo mật xuất bản tháng 3/2019, Microsoft cũng khẳng định xác thực nhiều lớp sẽ giảm số lượng vụ hack nhiều lần. Tuy nhiên, người dùng cần bảo vệ email hoặc số điện thoại của mình bằng các hình thức cho phép khôi phục nếu bị xâm nhập.
"Cố gắng bảo vệ chúng nhiều nhất có thể. Ví dụ, hầu hết nhà mạng đều cho phép bảo vệ SIM bằng mã PIN hoặc hình thức xác thực OATH. Bạn cũng có thể sử dụng các hình thức xác thực không dùng tới mật khẩu cho việc bảo vệ email", Microsoft chia sẻ cách bảo vệ SIM, email với người dùng.
Ví điện tử, ngân hàng lại cảnh báo thủ đoạn mới đánh cắp mã OTP lấy tiền Kẻ gian mạo danh nhân viên của ví điện tử, ngân hàng... để gọi điện, nhắn tin thông báo khách hàng trúng thưởng nhằm đánh cắp mã OTP, đánh cắp tiền trong tài khoản Ví điện tử MoMo vừa cảnh báo thủ đoạn kẻ gian giả danh nhân viên của MoMo gọi điện, nhắn tin từ số điện thoại lạ thông báo trúng...