Về trường hợp khách hàng H.T.N.Hương của Vietcombank bị mất trộm 500 triệu đồng trong tài khoản Internet Banking mới đây, khi chưa có kết luận cuối cùng của cơ quan điều tra, sẽ rất khó để xác định nguyên nhân dẫn đến việc tài khoản bị kẻ gian xâm nhập và chuyển tiền đi. Tuy nhiên, chúng ta có thể so sánh với các hệ thống ngân hàng khác trên thế giới để phần nào nhận định các khả năng.
Các ngân hàng trên thế giới vẫn dùng SMS OTP
So với các hệ thống ngân hàng khác trên thế giới, có thể thấy quy trình bảo mật theo các bước của dịch vụ VCB-iB@nking khá bài bản và tương đương, bao gồm quá trình đăng nhập bằng mật khẩu trên web kèm theo mã xác thực, yêu cầu mã OTP khi giao dịch trực tuyến (qua SMS hoặc ứng dụng Smart OTP trên điện thoại).
Các ngân hàng quốc tế trên thế giới đều phải tuân thủ tiêu chuẩn PCI DSS (Payment Card Industry Data Security Standard), trong đó có quy định các hình thức xác thực giao dịch bằng mật khẩu dùng một lần OTP (One Time Password).
Chia sẻ với VietNamNet, chuyên gia bảo mật Nguyễn Phố Sơn (hiện đang làm việc cho tập đoàn Microsoft tại Mỹ) cho biết hiện các ngân hàng trên thế giới vẫn đang sử dụng hình thức xác thực OTP bằng tin nhắn SMS, ứng dụng OTP trên điện thoại tương tự như Vietcombank. Thậm chí các ngân hàng của Đức còn dùng hình thức xác thực TAN, một dạng mã OTP được in sẵn trên giấy, mỗi lần sử dụng một mã.
Một số ý kiến nhận định xung quanh vụ việc tài khoản Vietcombank của chị Hương cho rằng có nguy cơ nạn nhân bị trộm mã xác thực OTP thông qua SMS bằng cách khai thác lỗ hổng SS7 (Signaling System #7) của các mạng viễn thông. Nhưng để thực hiện được, thủ phạm cần có trình độ bảo mật rất cao để xâm nhâp vào hệ thống mạng viễn thông của nhà mạng di động, từ đó chặn bắt nội dung tin nhắn SMS OTP gửi về điện thoại của nạn nhân để thực hiện giao dịch chuyển khoản.
Tuy nhiên, theo tường trình của chị Hương, điện thoại của chị không hề nhận được tin nhắn thông báo mã OTP nào trong đêm bị xâm nhập tài khoản, nhưng vẫn nhận được các tin nhắn SMS thông báo giao dịch hoàn tất.
Không dễ để lấy trộm mã OTP qua tin nhắn
Xét từ động cơ của thủ phạm trộm tiền chị Hương, việc thực hiện giao dịch chuyển tiền vào ban đêm nhằm chủ đích tránh việc chị Hương đọc được các tin nhắn thông báo giao dịch. Điều này cho thấy thủ phạm không thể ngăn chặn hệ thống gửi các tin nhắn thông báo này, cũng như không thể ngăn các tin nhắn báo mã OTP gửi tới máy chị Hương.
Do máy chị Hương không hề nhận được SMS báo mã OTP, nên giả thuyết thủ phạm khai thác lỗi SS7 để có mã OTP thực hiện giao dịch chuyển khoản cũng chưa thực sự thuyết phục.
Một khả năng khác là lỗi tiềm ẩn có sẵn trong ứng dụng OTP. Đây là một dạng phần mềm mã hóa cài trên điện thoại của khách hàng, khi cài đặt lần đầu cũng phải đăng ký và xác thực danh tính chủ tài khoản qua tin nhắn. Khi thực hiện giao dịch trực tuyến, hệ thống sẽ đưa ra một chuỗi mã kiểm tra OTP, khách hàng sẽ nhập chuỗi mã đó vào ứng dụng OTP trên điện thoại. Ứng dụng trên điện thoại sẽ giải mã chuỗi mã này và trả lại một mã OTP tương ứng duy nhất để có thể thực hiện giao dịch thành công.
Cơ sở để ứng dụng OTP hoạt động là với mỗi mã kiểm tra OTP của hệ thống, ứng dụng sẽ trả lại một mã duy nhất, và ứng dụng OTP của khách hàng này không thể giải mã cho giao dịch của khách hàng khác. Nhưng nếu cơ chế mã hóa của ứng dụng OTP không đủ mạnh và bị bẻ khóa” thì chuyện lấy được mã OTP là hoàn toàn có thể.
Một khả năng khác nữa, là tài khoản của chị Hương đã bị thủ phạm kích hoạt ứng dụng Smart OTP và cài lên một điện thoại khác mà chị Hương không hề biết. Nhưng để thực hiện được, thủ phạm vẫn cần biết mã kích hoạt gồm 4 chữ số được gửi qua tin nhắn SMS tới số điện thoại của chị Hương.
Khách hàng cần bảo mật tài khoản như thế nào?
Tương tự như với các tài khoản khác trên Internet, người dùng cần kiểm tra kỹ đường link và tên miền của website trước khi nhập thông tin tài khoản và mật khẩu đăng nhập. Việc hacker giả mạo các trang web đăng nhập vào hệ thống ngân hàng hay Gmail, Facebook… để lừa nạn nhân đăng nhập đã trở nên rất phổ biến, được biết đến với thuật ngữ phishing.
Người dùng cũng cần thường xuyên cập nhật các phần mềm diệt virus mới nhất trên máy tính và điện thoại di động của mình. Khi máy tính/điện thoại bị nhiễm virus, các phần mềm nghe lén (keylogger) có thể ghi lại mọi thao tác bấm phím của nạn nhân, bao gồm cả tên đăng nhập, mật khẩu, website đăng nhập… Khi có các dữ liệu này, hacker có thể dễ dàng chiếm tài khoản của nạn nhân.
Bảo mật tin nhắn cá nhân trên smartphone cũng là điều hiện ít được người dùng Internet banking lưu ý. Với chuỗi số xác thực 4 chữ số, thậm chí nếu điện thoại có khóa màn hình nhưng để chế độ thông báo có xem trước (preview nortification) vẫn có thể khiến người khác xem được trong lúc chủ máy rời xa điện thoại.
Ngoài ra, việc nâng cao ý thức bảo mật luôn là điều cần thiết. Khi nhận được tin nhắn lạ từ ngân hàng gửi tới điện thoại, người dùng cần cảnh giác và kiểm tra ngay tài khoản của mình chứ không nên bỏ qua.
Tác giả bài viết: Huy Phong