26/12/2024

Mất tiền do lỗ hổng OTP

Mất tiền do lỗ hổng OTP

Các vụ tiền trong tài khoản ngân hàng “bốc hơi” mà khách hàng khẳng định không đăng nhập đường link lạ, cung cấp thông tin tài khoản cho người khác, trong khi ngân hàng thông tin giao dịch hợp lệ khiến nhiều người hoang mang.
Chủ tài khoản ngân hàng thận trọng khi tải các app, phần mềm trên điện thoại /// Ảnh: AFP
Chủ tài khoản ngân hàng thận trọng khi tải các app, phần mềm trên điện thoại  ẢNH: AFP

Phần mềm gián điệp đánh cắp

Chiều 7.10, ông Trần Việt Luận (ở Q.Thủ Đức, TP.HCM), người bị mất 406 triệu đồng trong tài khoản ngân hàng V. qua ứng dụng Digibank, cho biết sau khi sự việc được thông tin trên báo, phía ngân hàng (NH) vẫn chưa có thêm thông tin gì về việc ông không đăng nhập tài khoản cũng như thực hiện 4 lệnh giao dịch chuyển khoản 406 triệu đồng.
“Trong công văn phản hồi khách hàng, V. chỉ thông tin là đơn vị cung cấp dịch vụ gửi tin nhắn đã gửi mã OTP vào điện thoại của tôi mà không đưa thông tin chứng minh, trong khi tôi đã nói không nhận được bất cứ tin nhắn nào về OTP cả. Quá mệt mỏi, tôi sẽ báo công an và đã ủy quyền cho công ty luật sư để theo vụ việc này”, ông Luận nói.
OTP – mật khẩu sử dụng một lần chỉ tồn tại trong thời gian ngắn nhất định, thường là sau 60 giây thì mã sẽ không còn hiệu lực, được coi là chốt chặn hiệu quả nhất để bảo vệ tài khoản. Vì thế, việc mã OTP cũng có thể bị đánh cắp gây hoang mang cho người sử dụng. Diễn đàn Whitehat (hacker mũ trắng) tại Việt Nam phân tích lỗ hổng ở đây chính là điểm yếu công nghệ trong phương thức gửi OTP qua tin nhắn truyền thống trên điện thoại di động (SMS OTP), nơi mà kẻ xấu đã lợi dụng điều này để tấn công lừa đảo (còn gọi phishing) mà nạn nhân không hề hay biết.

Nếu có “lỗ hổng” từ phương thức SMS OTP thì đã trở thành câu chuyện lớn hơn vì bất kỳ ai cũng có thể mất tiền nhưng tình trạng này rất khó. Tuy nhiên, gửi SMS OTP có hạn chế như trong các dịch vụ xuyên biên giới không thực hiện được. Hoặc có tồn tại nguy cơ bị đọc trộm từ mạng viễn thông, nhưng thực tế cũng không dễ. Hiện nay, nhiều đơn vị đã chuyển sang sử dụng việc xác thực OTP trên ứng dụng như Google Authenticator… vì tiện lợi hơn.

Chuyên gia bảo mật Nguyễn Minh Đức

Có 2 kịch bản được Whitehat đề cập. Thứ nhất, kẻ xấu sẽ lừa nạn nhân nhập mã OTP vào một website giả mạo (NH, dịch vụ chuyển tiền…) để chiếm mã OTP, từ đó tạo ra giao dịch chuyển tiền giả mạo. Đối với kịch bản thứ hai, kẻ xấu sẽ lừa nạn nhân cài đặt một phần mềm gián điệp trên điện thoại. Phần mềm này sẽ theo dõi tất cả thông tin, trong đó có tin nhắn chứa mã OTP và các thông tin đăng nhập vào ứng dụng Mobile Banking.
Liên quan điểm yếu bảo mật của phương thức xác thực OTP, mới đây vào tháng 6, Tập đoàn công nghệ Bkav đã đưa ra cảnh báo về một phần mềm gián điệp có tên Việt Nam84App. Phần mềm này đánh cắp dữ liệu người dùng Việt Nam, đặc biệt tập trung đánh cắp các mã SMS OTP. Ước tính tại Việt Nam đã có hơn 300 nạn nhân chỉ trong một thời gian ngắn. Phần mềm gián điệp Việt Nam84App được phát tán thông qua các website giả mạo cơ quan chức năng và khi người dùng truy cập vào website này, tải về điện thoại ứng dụng Việt Nam84App dưới dạng tập tin .apk. Lúc này Việt Nam84App sẽ âm thầm thu thập tin nhắn, số điện thoại, thông tin IMEI… gửi về máy chủ điều khiển của hacker. Phân tích Việt Nam84App, các chuyên gia phát hiện máy chủ điều khiển có giao diện bằng tiếng Trung Quốc và tin nhắn được thu thập từ điện thoại là những giao dịch NH có số tiền lớn lên tới hàng tỉ đồng.

Nhiều nghi vấn mã độc

Chuyên gia bảo mật Nguyễn Minh Đức phân tích để lấy tiền trong tài khoản NH thì kẻ lừa đảo phải đánh cắp toàn bộ thông tin về tài khoản NH và sau đó là mã OTP. Trong trường hợp của khách hàng nêu trên, kẻ lừa đảo đã kích hoạt tài khoản NH trên một thiết bị khác. Khi đó bắt buộc kẻ lừa đảo cũng phải có được mã OTP để cài đặt. Có nhiều khả năng mã OTP được đánh cắp. Chẳng hạn khi tin nhắn gửi OTP đến người dùng hiện lên màn hình thiết bị thì có người nhìn lén và nhập ngay vào để kích hoạt tài khoản. Hoặc thông qua đường link đến website giả mạo tương tự V. mà khách hàng tưởng mình đang giao dịch trên trang web chính thức của NH nên nhập mã OTP và bị hacker lấy cắp rồi cùng lúc thực hiện cài đặt tài khoản qua thiết bị khác. Hay thiết bị của người dùng đã bị cài mã độc sẵn trước đó nên mọi thông tin, giao dịch đều được sao chép…
Đồng quan điểm, ông Võ Đỗ Thắng, Giám đốc Trung tâm đào tạo an ninh mạng, cho rằng đơn vị này đã gặp rất nhiều khách hàng bị mất toàn bộ thông tin cá nhân từ email đến tài khoản Zalo, Facebook hay cả tài khoản NH trên thiết bị di động nói chung đã bị phần mềm gián điệp xâm nhập. Các phần mềm gián điệp khá đa dạng, có những chương trình chuyên tập trung sao chép liên quan đến giao dịch tài chính như tài khoản NH, Mobile Banking; có phần mềm tập trung ghi nhận lịch sử trao đổi qua điện thoại… Khi đã bị phần mềm gián điệp nằm vùng thì mọi hoạt động, giao dịch trên điện thoại đều bị sao chép, kể cả tin nhắn chứa mã OTP trong các giao dịch chuyển khoản.
“Khi thiết bị không an toàn thì bất kể sử dụng phương pháp nào trong bảo mật khi giao dịch của NH, từ SMS OTP hay OTP qua ứng dụng… đều có khả năng bị sao chép, rủi ro mất tiền cao. Từ đó kẻ gian dễ dàng lấy được mã OTP để lấy trộm tiền trong tài khoản”, ông Võ Đỗ Thắng nói.
THANH XUÂN – MAI PHƯƠNG
TNO