Vụ tài khoản ngân hàng ‘bốc hơi’ 406 triệu, CEO Bkav đề xuất dùng chữ ký số thay thế SMS OTP

Ông Nguyễn Tử Quảng, CEO Bkav cho hay, với vai trò của một Tập đoàn về An ninh mạng, Bkav đã ít nhất 2 lần cảnh báo rộng rãi về việc công nghệ xác thực SMS OTP không đảm bảo an toàn.

Trên trang Facebook cá nhân ngày 6/10, ông Nguyễn Tử Quảng, CEO Bkav đã đăng tải trên Facebook cá nhân bài viết “Lý giải nguyên nhân vụ việc tài khoản khách hàng của Vietcombank bị đánh cắp 406 triệu VNĐ chỉ trong vài phút".

Theo đó, CEO Bkav ho rằng sự việc này là điều không ngạc nhiên. Bởi trong một năm qua, ông biết đã có nhiều vụ việc tương tự và với nhiều ngân hàng khác nhau, không chỉ Vietcombank.

Ông Quảng nhận định, hacker đã khai thác điểm yếu của công nghệ xác thực SMS OTP. Có 2 cách để khai thác điểm yếu của công nghệ này: Cách thứ nhất hacker lừa nạn nhân nhập mã SMS OTP vào một website giả mạo; Cách thứ hai lừa nạn nhân cài phần mềm gián điệp chiếm quyền điều khiển của thiết bị di động.

"Với vai trò của một Tập đoàn về An ninh mạng, Bkav đã ít nhất 2 lần cảnh báo rộng rãi về việc công nghệ xác thực SMS OTP không đảm bảo an toàn", ông Quảng cho hay.

Trước đó, một chủ tài khoản Vietcombank phát hiện bị “bốc hơi” 406 triệu đồng trong tài khoản. Tài khoản của nạn nhân được xác định có 4 giao dịch phát sinh, lần lượt chuyển toàn bộ số tiền bị mất nói trên đến các tài khoản thuộc 2 ngân hàng khác trong vòng 7 phút. Chủ tài khoản khẳng định, bản thân không thực hiện các giao dịch trên và cũng không biết người thụ hưởng là ai.

Bkav nhận định, nấu chốt của vấn đề là, trong khi nạn nhân cho biết không hề nhận được tin nhắn thông báo mã xác thực, biến động số dư bằng SMS qua điện thoại như thông lệ, phía ngân hàng cho biết đã ghi nhận 4 giao dịch chuyển khoản nói trên đều hợp lệ và đã có 8 tin nhắn được gửi đến số điện thoại của chủ tài khoản.

Một điểm đáng lưu ý khác, theo Vietcombank tài khoản trên ứng dụng VCB Digibank của nạn nhân đã được kích hoạt trên một thiết bị khác và thực hiện lệnh chuyển tiền trong khi chủ tài khoản khẳng định không cung cấp, chia sẻ tên truy cập dịch vụ hay mật khẩu VCB Digibank cho bất cứ ai.

Về giải pháp, ông Nguyễn Tử Quảng thông tin, đã tư vấn cho Ngân hàng Nhà nước Việt Nam ban hành quy định về giao dịch sử dụng chữ ký số để thay thế cho SMS OTP.

"Hiện Ngân hàng Nhà nước Việt Nam đã ban hành quy định bắt buộc áp dụng với tất cả các ngân hàng, tuy nhiên hạn mức để bắt buộc phải sử dụng chữ ký số đang còn ở mức cao, cụ thể giao dịch phải trên 500 triệu mới phải sử dụng chữ ký số", ông Quảng cho biết.

Để khắc phục những trường hợp lừa đảo như thế này, CEO Bkav kiến nghị phải hạ thấp hạn mức giao dịch xuống, tiến tới loại bỏ công nghệ SMS OTP tại các ngân hàng ở Việt Nam giống như một số nước phát triển đang áp dụng.

Về phía người dùng, ông Quảng khuyến cáo cần cài đặt phần mềm diệt virus trên máy tính để chống đánh cắp dữ liệu website và cài phần mềm chống mã độc trên thiết bị di động để ngăn chặn các phần mềm gián điệp, chiếm quyền kiểm soát điện thoại.