Khách hàng "mất oan" hơn 400 triệu đồng, "giật mình" với lỗ hổng OTP của ngân hàng

Sau nhiều vụ việc người dân báo mất tiền, giới chuyên gia đã lên tiếng cảnh báo về tính an toàn của hình thức bảo mật bằng mã xác thực OTP gửi qua hệ thống tin nhắn.

Mới đây, một người dân ở TP.HCM phản ánh bị mất hơn 400 triệu đồng trong tài khoản, nghi ngờ do bị giả mạo giao dịch qua ứng dụng VCB Digibank. Nguyên nhân gây ra sự việc cần kết luận chính thức từ cơ quan chức năng. Tuy nhiên dựa trên những dữ liệu mà các bên cung cấp đến thời điểm này, giới chuyên gia bảo mật đã lên tiếng cảnh báo về tính an toàn của hình thức bảo mật bằng mã xác thực dùng 1 lần (OTP) gửi qua hệ thống tin nhắn mà nhiều doanh nghiệp làm dịch vụ tại Việt Nam sử dụng hiện nay.

Theo phản ánh từ ông Luận ngụ tại TP.HCM, khách hàng có sử dụng ứng dụng ngân hàng số của Vietcombank, ngày 4/9 vừa qua, tài khoản của ông được đăng nhập và kích hoạt tính năng lấy mã xác thực dùng một lần không cần qua tin nhắn (Smart OTP) trên một thiết bị mới. Ở cả hai khâu này, việc kích hoạt chỉ thành công nếu người nắm thiết bị mới nhập đúng mã xác thực dùng một lần OTP được gửi vào số điện thoại ông đã đăng ký từ đầu với ngân hàng.

Sau đó, ứng dụng trên thiết bị mới đã thực hiện 2 giao dịch chuyển tiền tổng cộng 89 triệu đồng đến tài khoản một ngân hàng khác, đều phải thông qua mã OTP gửi tin nhắn điện thoại của ông. Chuyển thành công, ứng dụng trên thiết bị mới đã được phép chuyển tiền lần tiếp theo thông qua tính năng Smart OTP, với tổng số tiền 317 triệu đồng vào tài khoản một ngân hàng khác nữa.

Ông Luận khẳng định không nhận được bất kỳ tin nhắn thông báo OTP nào. Như vậy, để lấy được 406 triệu đồng từ tài khoản ông Luận, người thực hiện giao dịch đã phải chiếm được quyền kiểm soát tin nhắn điện thoại của ông vì đã nhập đúng OTP đến 4 lần.

Đại diện Vietcombank không cung cấp chi tiết vụ việc, tuy nhiên cho biết đang xử lý. Theo kết quả rà soát dữ liệu giao dịch, Vietcombank đã ghi nhận các giao dịch đã được thực hiện bởi đúng thông tin định danh của chủ tài khoản, bao gồm mã OTP, các tin nhắn thông báo đã được gửi thành công tới số điện thoại của khách hàng.

Hiện trên thị trường có 50 ngân hàng và 40 trung gian thanh toán, phần lớn trong số này đều sử dụng mã OTP gửi qua tin nhắn để bảo mật giao dịch cho khách hàng, nhưng vẫn đảm bảo yếu tố tiện lợi khi thanh toán trực tuyến. Tuy nhiên, qua nhiều vụ việc người dân báo mất tiền, lỗ hổng của hình thức này được giới an ninh mạng chỉ ra.

Theo đó, việc chiếm được quyền kiểm soát OTP có hai cách cơ bản: Thứ nhất, hacker lừa nạn nhân nhập mã OTP vào một website giả mạo để chiếm mã; Thứ hai là lừa nạn nhân cài phần mềm gián điệp lên điện thoại thông minh, từ đó theo dõi được thông tin tài khoản đăng nhập vào ứng dụng ngân hàng lẫn các tin nhắn có chứa mã OTP.

"Cách thức dùng mã OTP có điểm yếu là không chống được tấn công lừa đảo, tức là khi kẻ xấu nghĩ ra một kịch bản để lừa người sử dụng cung cấp mã OTP. Công nghệ này không có tính "chống chối bỏ", nghĩa là chứng minh khách hàng là người thực hiện giao dịch hay kẻ xấu thực hiện. Như vậy, chuyện tranh cãi đúng sai, trách nhiệm thuộc về ai giữa khách hàng và ngân hàng nó cứ tiếp diễn", ông Ngô Tuấn Anh, Phó Chủ tịch phụ trách An ninh mạng, Tập đoàn BKAV, nhận định.

Việc người dùng thiếu kiến thức về an ninh mạng và dễ dãi trong việc cài đặt các ứng dụng cũng tạo lỗ hổng để các hacker có thể lợi dụng. Ghi nhận tại Trung tâm an ninh mạng Athena, mỗi tháng có đến hàng trăm trường hợp điện thoại của người dân bị nhiễm phần mềm gián điệp.

Giới chuyên gia khuyến cáo ngân hàng, trung gian thanh toán cần nghiên cứu áp dụng sớm những hình thức bảo mật cao hơn như: chữ ký số, hay đơn giản nhất là có hoạt động truyền thông sát sao cho khách hàng về nguy cơ của phần mềm gián điệp. Một năm trở lại đây, một số ngân hàng cũng đầu tư cho các hình thức bảo mật mới thay thế cho phương thức OTP qua tin nhắn.