Người dùng được, mất gì khi hủy tin nhắn SMS ngân hàng?

Xuân Sang - Minh Hoàng17:16 22/02/2022

Bên cạnh tiết kiệm chi phí, việc nhận thông báo biến động số dư trên ứng dụng di động giúp hạn chế tình trạng lừa đảo qua tin nhắn. Đổi lại, người dùng cần kết nối mạng liên tục.

Sau khi các ngân hàng trong nước đồng loạt tăng giá phí tin nhắn thông báo biến động số dư ( SMS Banking), nhiều người dùng cho biết họ sẽ hủy dịch vụ này để chuyển hẳn sang dùng thông báo trên ứng dụng di động. Bên cạnh tiết kiệm chi phí, việc nhận thông báo biến động tài khoản qua app còn giúp hạn chế tình trạng lừa đảo tin nhắn hiện phổ biến.

Tuy nhiên, với những người dùng không sử dụng điện thoại thông minh, việc chuyển đổi sẽ gặp nhiều khó khăn. Đồng thời, một số ngân hàng trộn lẫn biến động tài khoản với thông tin quảng cáo, gây phiền toái cho người dùng.

Bỏ SMS giúp bảo mật hơn, không giới hạn địa lý

“Chỉ nhận biến động số dư hàng tháng mà tốn thêm vài chục nghìn đồng tôi thấy không hợp lý. Hiện tại, thông báo trên điện thoại đã rất tiện, thao tác cũng nhanh, đơn giản. Tôi không thấy lý do gì để trả thêm tiền cho SMS Banking”, ông Ngọc Trần, ngụ quận 8, TP.HCM nói với PV .

Tin nhắn lừa đảo từ đầu số ngân hàng.

Bên cạnh việc tiết kiệm chi phí dịch vụ SMS Banking, việc nhận thông báo qua ứng dụng trên điện thoại giúp hạn chế tình trạng nhận tin nhắn lừa đảo, giả mạo ngân hàng. Ông Nguyễn Minh Đức, nhà sáng lập kiêm CEO công ty bảo mật CyRadar cho rằng những vụ lừa đảo qua hình thức SMS ngân hàng trong năm 2021 là ví dụ rõ ràng.

Thiết bị giả mạo trạm phát sóng, từ đó giả đầu số nhắn tin của đối tượng bị bắt giữ vào tháng 1.

“Vấn đề lớn khi nhận thông tin từ ngân hàng qua SMS là việc tin nhắn mạo danh có thể đan xen vào tin nhắn thật, tới từ ngân hàng. Từ đó, người dùng dễ bị dụ bấm vào những đường link trong tin nhắn, tự điền thông tin cho kẻ tấn công. Khi nhận thông báo, mã OTP qua app thì người dùng không phải lo ngại về vấn đề này”, ông Đức nhận định.

Đến nay, nhiều khách hàng vẫn nhận được tin nhắn lừa đảo dạng này gửi đến điện thoại. Vào tháng 1, Công an TP Hà Nội đã bắt giữ một đối tượng quốc tịch Trung Quốc vì hành vi giả mạo tin nhắn thương hiệu để lừa đảo. Việc ngừng sử dụng SMS Banking có thể giúp người dùng dễ dàng nhận diện các tin nhắn lừa đảo.

Ngoài ra, ông Đức cũng cho rằng OTP và thông báo trong ứng dụng là hình thức mà ngân hàng chủ động đẩy thông tin tới người dùng, không phải qua đối tác thứ ba, cũng không phải phụ thuộc vào mạng viễn thông của quốc gia. Nhờ đó, người dùng dù có đi công tác nước ngoài vẫn nhận được thông báo, mã OTP.

Một số phiền toái từ ứng dụng ngân hàng trên di động

Chia sẻ với PV , ông Sơn Bách, một người dùng tại Hà Nội vừa hủy dịch vụ SMS Banking cho biết ứng dụng của ngân hàng thường xuyên có các quảng cáo không cần thiết, gây phiền toái cho người dùng.

Theo ghi nhận của phóng viên, ứng dụng của nhiều ngân hàng lớn như BIDV, Vietinbank đang thông báo cả các dịch vụ, quảng cáo không nằm trong nhu cầu của người dùng. Cụ thể, nhiều người cho biết ứng dụng smart banking trên điện thoại của họ có thể thông báo tới 7-8 quảng cáo mỗi ngày, gây ảnh hưởng đến công việc.

Video đang HOT

Thông báo quảng cáo từ ứng dụng ngân hàng gây phiền toái cho người dùng

Bên cạnh đó, một số ngân hàng xử lý tốt thông báo trên ứng dụng như Techcombank, Vietcombank, MSB giúp người dùng dễ dàng quản lý trên điện thoại.

“Mấy tháng trước Techcombank có chuyển sang dùng ứng dụng mới. Khi đổi, họ đề xuất hủy SMS Banking, nhận thông báo số dư bằng ứng dụng. Thời gian qua app chỉ hiện thông báo số dư, không có các tin quảng cáo khác”, bà Mỹ Duyên, nhân viên văn phòng ngụ tại thành phố Thủ Đức, TP.HCM chia sẻ với PV .

Trong khi đó, Vân Anh, chủ một cửa hàng thời trang trực tuyến cho biết bản thân vẫn cần dùng đến dịch vụ tin nhắn biến động số dư của ngân hàng.

“Mình cảm thấy tin nhắn SMS của ngân hàng vẫn cần thiết, nhất là với một người kinh doanh trực tuyến. Ngoài ra, mình cũng thường xuyên phải đi lại và không phải lúc nào cũng có Wi-Fi để nhận thông báo biến động số dư qua ứng dụng điện thoại. Do đó, mình vẫn tiếp tục sử dụng dịch vụ tin nhắn của ngân hàng bất kể tăng giá”, Vân Anh chia sẻ.

Một số người dùng vẫn chọn gắn bó với SMS Banking.

Ngoài ra, cần lưu ý rằng thông tin biến động số dư trên ứng dụng di động chỉ hoạt động khi có kết nối Internet. Do đó, trong một số trường hợp, người dùng sẽ không thể biết được biến động số dư nếu tài khoản gặp vấn đề khả nghi.

“Chọn dùng dịch vụ thông báo qua ứng dụng thì cần chú ý kết nối mạng liên tục. Bên cạnh đó, smartphone cần có hiệu năng tốt một chút để chạy đa nhiệm. Một số dòng điện thoại tôi dùng trước đây bị lỗi chậm thông báo, có thể gây phiền toái trong một số trường hợp”, ông Ngọc Trần chia sẻ.

Ngoài ra, những phiên bản iOS, Android gần đây đều có yêu cầu cao về quyền phát thông báo. Có trường hợp người dùng không cấp quyền thông báo từ đầu, sau đó cũng không biết phải tìm ở đâu để mở lại.

“Sau khi cài app, tôi không nhận được thông báo khi tiền về. Do không biết mở thế nào, tôi luôn phải nhờ con, cháu hướng dẫn”, ông Lê Hải, 70 tuổi, sống tại Hà Nội chia sẻ.

Ông Nguyễn Minh Đức cho rằng tỷ lệ người dùng SMS Banking vẫn còn khá cao. Một trong những nguyên nhân là ứng dụng chỉ có thể cài trên smartphone, người dùng điện thoại cơ bản (feature phone) vẫn phải nhận thông tin qua SMS.

“Bố mẹ tôi ở quê vẫn dùng điện thoại Nokia đời cũ, không muốn đổi máy vì đã quen thuộc. Với thiết bị đó thì buộc phải dùng SMS Banking thôi”, bà Mỹ Duyên nói.

BIDV, Vietcombank và Techcombank là 3 ngân hàng vừa áp dụng biểu giá mới, tối đa trên 70.000 đồng/tháng cho dịch vụ tin nhắn biến động số dư tài khoản. Phần lớn ngân hàng còn lại bán gói dịch vụ cố định với phí 5.000-15.000 đồng/tháng. HSBC, Hong Leong Bank là hai nhà băng đang miễn phí dịch vụ này tại Việt Nam.

Tại sao bạn không nên dùng xác thực hai yếu tố bằng tin nhắn SMS

Tin nhắn SMS được chứng minh là kém bảo mật để sử dụng làm phương thức xác thực hai yếu tố.

Cơ chế xác thực hai yếu tố (2FA - Two-factor Authentication) từ lâu đã được nhiều người tin dùng nhờ tính bảo mật cao. Cơ chế này thêm một bước xác thực thứ hai bên cạnh việc sử dụng mật khẩu để đăng nhập, từ đó giảm thiểu khả năng bị các tin tặc tấn công tài khoản, đặc biệt hữu dụng khi sử dụng với các nền tảng mạng xã hội như Facebook, Instagram, Google...

Một trong những phương thức xác thực hai yếu tố phổ biến nhất hiện tại là sử dụng tin nhắn SMS để nhận mã xác thực được gửi về số điện thoại đăng ký tài khoản của người dùng. Nghe thì có vẻ an toàn bởi sẽ chẳng có ai ngoài bản thân người dùng có được số điện thoại chính chủ trong tay, thế nhưng theo nhiều chuyên gia bảo mật, tin nhắn SMS không phải là một phương thức bảo mật an toàn và nó hoàn toàn có thể bị khai thác và giả mạo.

Xác thực hai yếu tố bằng SMS

Bất chấp sự kém bảo mật của cơ chế SMS nhưng xác thực hai yếu tố bằng tin nhắn vẫn được sử dụng rộng rãi do tính đơn giản của phương thức này.

Cách tin tặc "hack" tin nhắn SMS

Về cơ bản, tin nhắn SMS dựa trên mạng viễn thông của các nhà mạng. Ban đầu, các hacker có nhiều cách để để xâm nhập vào hạ tầng mạng viễn thông của nhà mạng, tuy nhiên cách này đã bị coi là "lỗi thời" và không còn phù hợp. Thay vào đó, các tin tặc chuyển hướng sang khai thác người dùng.

Daniel Cid, nhà sáng lập của trang Sucuri Blog, cho biết không chỉ nhà mạng có hạ tầng bảo mật kém mà cả các nhà sản xuất điện thoại cũng vậy.

"Hộp thư thoại chỉ được bảo mật bởi mã PIN 4 số, và hầu hết nhà mạng đều cho phép người dùng truy cập hộp thư thoại từ xa.

Dễ dàng tấn công: Chỉ cần một vài thông tin cơ bản về nạn nhân là có thể reset mã PIN.

Dễ dàng bị giả mạo: Việc giả mạo tin nhắn SMS cực kỳ dễ. Tin nhắn SMS không có cơ chế bảo mật hay bất cứ chứng chỉ bảo mật nào để xác minh người gửi có an toàn hay không".

Google hiện cũng đã nỗ lực để tìm ra phương thức bảo mật an toàn cũng như cách để xác minh người gửi SMS. Nếu bạn quan tâm có thể tham khảo chi tiết nội dung được đăng tải bởi Google ở đường dẫn này.

Các tin tặc có thể kết hợp nhiều cách thức lừa đảo khác nhau để khai thác thông tin từ nạn nhân, ví dụ như gửi một tin nhắn giả mạo tới nạn nhân mà trông có vẻ như được gửi từ một người gửi uy tín. Cách thức này hiện đang cực kỳ phổ biến tại Việt Nam do việc quản lý SMS Brandname (tin nhắn thương hiệu) chưa thực sự hiệu quả, cho phép các tin tặc có thể đăng ký Brandname bất kỳ, đa số là tên ngân hàng, ví dụ như "ACB", "Vietcombank", "VietinBanh"...

Một ngân hàng tại Việt Nam bị giả mạo bằng cách thức đăng ký SMS Brandname giống hệt

Trong nhiều trường hợp, các tin tặc sẽ lừa người dùng thiếu cảnh giác để tự điền các thông tin cá nhân vào một trang web lừa đảo (phishing) với giao diện giống thật, sau đó một mã xác thực SMS được gửi tới số điện thoại của nạn nhân và yêu cầu người dùng điền mã xác thực vào trang web này.

Đó mới chỉ là một vài cách phổ biến đánh trúng sự thiếu hiểu biết của các nạn nhân. Với một vài tin tặc, kỹ thuật yếu tố con người (social engineering) được sử dụng trong nhiều trường hợp nhằm chiếm đoạt các thông tin cá nhân. Một trong những cách dễ dàng nhất là hoán đổi thông thẻ SIM.

Với cách này, tin tặc sẽ thu thập thông tin về nạn nhân càng nhiều càng tốt, có thể là tên, ngày sinh, địa chỉ, số căn cước... Sau đó giả danh nạn nhân, sử dụng một chiếc điện thoại và thẻ SIM mới sau đó yêu cầu nhà mạng kích hoạt số điện thoại trên thẻ SIM đó. Nếu "trót lọt", số điện thoại sẽ được chuyển sang thẻ SIM mới của tin tặc, từ đó cho phép tin tặc toàn quyền kiểm soát các tài khoản có sử dụng số điện thoại đăng ký của nạn nhân. Phương thức này chủ yếu lợi dụng sự lỏng lẻo trong khâu xác minh người dùng của nhà mạng.

Phương thức "hoán đổi SIM" sử dụng kỹ thuật yếu tố con người

Quá trình này có vẻ phức tạp, tuy nhiên nó lại có tính hiệu quả cao một khi thành công. Trong quá khứ, Cloudflare đã từng bị "hack" bằng kỹ thuật này khi nhà mạng AT&T (nhà mạng cung cấp dịch vụ của Cloudflare) đã bị đánh lừa và chuyển hướng thư thoại, sau đó tin tặc có được quyền truy cập vào tài khoản email thông qua một mã xác thực 2FA được gửi vào hộp thư thoại.

Trong nhiều trường hợp, mã xác thực hai yếu tố còn có thể bị các ứng dụng có mã độc được cài đặt trong máy người dùng, đa số là Android, đọc được nếu chẳng may cấp quyền truy cập tin nhắn cho ứng dụng. Đây cũng là một trong những cách phổ biến được tin tặc sử dụng, bằng cách lừa người dùng cài đặt ứng dụng trái phép, sau đó hỏi quyền truy cập SMS. Nếu người dùng đồng ý, toàn bộ dữ liệu tin nhắn có trong máy đều có thể bị ứng dụng truy cập và gửi về một máy chủ nào đó.

Sử dụng các cơ chế xác thực 2FA thay thế

Tin nhắn SMS đã được chứng minh là phương thức xác thực kém bảo mật. Để tránh các vụ tấn công mạng nhắm vào người dùng cuối, dưới đây là các phương thức xác thực hai yếu tố thay thế cho SMS được các chuyên gia bảo mật khuyên dùng.

- Thiết bị xác thực hai yếu tố: Phương thức này phụ thuộc vào một thiết bị phần cứng vật lý có thể cho phép quyền truy cập vào tài khoản. Thiết bị này sẽ tạo ra một mã xác thực và người dùng cần phải điền mật khẩu và mã xác thực mới có thể truy cập vào tài khoản. Tất nhiên, phương thức này sẽ không hiệu quả nếu người dùng làm mất thiết bị.

- Ứng dụng xác thực hai yếu tố: Hiện tại có khá nhiều phần mềm cung cấp tính năng tạo mã xác thực. Giống với xác thực bằng phần cứng thì xác thực bằng ứng dụng cũng sẽ cung cấp một mã xác thực cho người dùng dùng để đăng nhập vào tài khoản. Một trong những ứng dụng phổ biến nhất là Google Authenticator.

- Xác thực dựa trên địa chỉ IP: Đây là cách được nhiều website sử dụng khi chỉ cho phép người dùng truy cập vào tài khoản với một địa chỉ IP tin cậy. Phương thức này hạn chế tối đa khả năng xâm nhập tài khoản từ người lạ.

Tiền điện tử sắp được công nhận là tiền tệ tại Nga Theo dự thảo luật dự kiến công bố ngày 18/2, tiền điện tử tại Nga sẽ được định nghĩa là "một loại tiền tệ", chứ không chỉ là tài sản kỹ thuật số. Theo tờ Kommersant của Nga, chính phủ và Ngân hàng Trung ương Nga đã đạt được thỏa thuận về cách quản lý tiền điện tử. Hiện tại, các nhà chức...