Cơ quan chủ quản: Bộ Thông tin và Truyền thông
Số giấy phép: 09/GP - BTTTT, cấp ngày 07/01/2019
Tổng biên tập: Nguyễn Văn Bá

Liên hệ tòa soạn

Tòa soạn: Tòa nhà C'Land - 156 Xã Đàn 2,
Đống Đa, Hà Nội
Hotline: 19001081 (8h-17h) | 0923457788 (ngoài giờ HC)
© 1997 Báo VietNamNet. All rights reserved.
Chỉ được phát hành lại thông tin từ website này khi có sự đồng ý bằng văn bản của báo VietNamNet.

Liên hệ quảng cáo

Bộ phận Kinh doanh – Quảng cáo:
Điện thoại:024 39369360
Email : phattrienkinhdoanh@vietnamnet.vn
Xem thông tin chi tiết: http://vads.vn
Hỗ trợ kỹ thuật: support@tech.vietnamnet.vn

Nội dung chuyên đề

Thứ Ba, 06/10/2020 - 10:21

Sau vụ “bốc hơi” 406 triệu đồng trong tài khoản, cảnh báo lỗ hổng bảo mật dựa trên phương pháp SMS OTP

Rạng sáng 6/10, diễn đàn Whitehat (hacker mũ trắng) tại Việt Nam đã đăng tải một thông tin liên quan đến nguy cơ 'mất tiền oan' từ tin nhắn OTP.

Trong bài viết trên đã đề cập tới tình trạng một vài chủ tài khoản ngân hàng đã trở thành nạn nhân bị đánh cắp số tiền lớn, có người lên tới vài trăm triệu đồng, mà không hề hay biết.

Đơn cử, chiều ngày 04/10, khi nhiều trang tin rộ lên sự việc một chủ tài khoản Vietcombank phát hiện mình bị “bốc hơi” 406 triệu đồng trong tài khoản.

Theo thông tin được đăng tải, tài khoản của nạn nhân được xác định có 4 giao dịch phát sinh, lần lượt chuyển toàn bộ số tiền bị mất nói trên đến các tài khoản thuộc 2 ngân hàng khác trong vòng 7 phút.

Giống như đã đề cập ở phần trên, chủ tài khoản khẳng định bản thân không nhận được thông báo, không thực hiện các giao dịch trên và cũng không biết người thụ hưởng là ai.

Theo Whitehat, lỗ hổng ở đây chính là điểm yếu công nghệ trong phương thức xác thực SMS OTP, nơi mà kẻ xấu đã lợi dụng điều này để tấn công lừa đảo (còn gọi 'phishing') mà nạn nhân không hề hay biết.

Ảnh minh họa

Có 2 kịch bản được Whitehat đề cập, cho phép hacker có thể dựng lên để lừa người sử dụng như sau:

Ở kịch bản đầu tiên, kẻ xấu sẽ lừa nạn nhân nhập mã OTP vào một website giả mạo (ngân hàng, dịch vụ chuyển tiền…) để chiếm mã OTP, từ đó tạo ra giao dịch chuyển tiền giả mạo.

Đối với kịch bản thứ hai, kẻ xấu sẽ lừa nạn nhân cài đặt một phần mềm gián điệp trên điện thoại. Phần mềm này sẽ theo dõi tất cả thông tin, trong đó có tin nhắn SMS chứa mã OTP và các thông tin đăng nhập vào ứng dụng Mobile Banking. Một khi lấy được các thông tin này, hacker sẽ có thể tạo ra các giao dịch chuyển tiền giả mạo.

Ai chịu trách nhiệm?

Ông Ngô Tuấn Anh, Phó chủ tịch phụ trách an ninh mạng của Bkav chia sẻ: "Việc quy trách nhiệm ngân hàng đúng hay khách hàng đúng, sẽ không thể xử lý được triệt để bởi OTP là công nghệ không có tính ‘chống chối bỏ’, nghĩa là không có khả năng xác định chính xác và quy trách nhiệm ai thực hiện giao dịch".

Bên cạnh đó, Việt Nam cũng chưa có khung pháp lý phù hợp để áp dụng cho trường hợp cụ thể người dùng - là nạn nhân, bị đánh cắp tiền dựa trên xác thực mã OTP giả. Do đó, sẽ rất khó để quy luận rằng bên nào sẽ phải chịu trách nhiệm về số tiền đánh mất (trong trường hợp không tìm thấy kẻ thực hiện hành vi đánh cắp). Ngân hàng cũng có quyền không bồi thường cho khách hàng, do về lí thuyết, giao dịch diễn ra hợp lệ dựa trên hệ thống OTP.

Một số chuyên gia công nghệ gợi ý rằng giải pháp duy nhất hiện nay đáp ứng về mặt công nghệ và pháp lý của chống chối bỏ là chữ ký số.

Tuy nhiên, giao dịch sử dụng chữ ký số hiện nay tại Việt Nam vẫn còn hạn chế, cụ thể giao dịch phải trên 500 triệu mới phải sử dụng phương pháp này. Do đó, đa số các giao dịch được thực hiện vẫn bảo mật dựa trên phương pháp SMS OTP.

Để đối phó với tình trạng này, các chuyên gia bảo mật từ Whitehat đưa lời khuyên rằng đối với người sử dụng, cần cảnh giác trước các chiêu thức tấn công lừa đảo của kẻ xấu, đồng thời chuẩn bị sẵn phương án đối phó.

Ngọc Dũng