Khi người dùng bị tấn công và mất hơn 400 triệu đồng trong thời gian ngắn, việc bảo mật của các ngân hàng trở thành một vấn đề nổi bật và đáng quan ngại. Cùng TOCCHIENHUYENTHOAI.COM xem qua bài viết này.
Mã OTP là gì?
Mã OTP (mật khẩu một lần) là một khái niệm dựa trên thuật toán mật khẩu duy nhất có thời hạn, được phát triển vào những năm 1980. Mã OTP đã được áp dụng rộng rãi trong nhiều lĩnh vực trong cuộc sống, từ thương mại, ngân hàng và tài chính, quốc phòng, y tế cho đến các dịch vụ trên internet.
Trong số đó, ngân hàng là lĩnh vực sử dụng mã OTP rộng rãi nhất do tính đơn giản và hiệu quả của nó trong việc xác thực các giao dịch. Tuy nhiên, đơn giản càng nhiều, mã OTP càng trở nên dễ bị tấn công và chiếm đoạt bởi các tội phạm mạng.
Đó là lý do tại sao nhiều ngân hàng trên toàn cầu liên tục nỗ lực để cải tiến phương pháp xác thực đa lớp (multi-authentication, MFA) bằng cách kết hợp mã OTP, nhằm giảm thiểu rủi ro của các hoạt động chiếm đoạt tài sản của người dùng. Trên thế giới, ngân hàng thường gửi mã OTP kèm theo yêu cầu nhập mã PIN/mật khẩu và/hoặc xác thực sinh trắc học (như giọng nói, vân tay, mống mắt, khuôn mặt) và/hoặc xác thực cứng (như thẻ thông minh, USB chứa token)…
Các biện pháp xác thực càng phức tạp, người dùng càng mất nhiều thời gian, nhưng nó cũng nâng cao tính bảo mật và xác định danh tính một cách chính xác. Hiện nay, các công ty công nghệ lớn như Google và Facebook cũng chuyển sang sử dụng xác thực hai yếu tố (two-factor authentication, 2FA) khi tài khoản người dùng được liên kết với thẻ tín dụng, nhằm giảm thiểu rủi ro trước các vụ tấn công chiếm đoạt thẻ.
 |
| Xác thực đa lớp (MFA) đang được sử dụng rộng rãi thay thế OTP. |
Trong những năm gần đây, ngân hàng Việt Nam đã nhận ra lỗ hổng bảo mật của mã OTP gửi qua tin nhắn SMS (SMS OTP), do đó nhiều ngân hàng đã triển khai biện pháp bảo mật tăng cường được gọi là smart OTP.
Với smart OTP, người dùng sẽ phải tải ứng dụng tương ứng của ngân hàng, đăng nhập bằng mật khẩu (hoặc mã PIN) và sau đó xác thực bằng mã OTP được gửi trực tiếp vào ứng dụng đó, thay vì gửi qua tin nhắn SMS như phương pháp cũ. Phương pháp này tương đương với 2FA như đã được đề cập bởi các chuyên gia.
Trong trường hợp của ông Trần Việt Luận (TP.HCM), khi anh ta mất 406 triệu đồng trong tài khoản Vietcombank chỉ trong vòng 7 phút như đã đề cập từ đầu, ông không nhận được thông báo xác thực và thông báo về sự thay đổi số dư. Ông chỉ nhận ra rằng tiền đã “bay mất” sau khi thực hiện giao dịch tại ngân hàng.
Vietcombank cho biết tài khoản của khách hàng này đã kích hoạt ứng dụng VCB Digibank trên một thiết bị khác và gửi đi 4 tin nhắn xác thực và 4 tin nhắn thông báo về thay đổi số dư. Theo các chuyên gia, điều này cho thấy ông Luận có thể chưa từng sử dụng VCB Digibank hoặc số điện thoại liên kết với tài khoản Internet Banking đã bị tin tặc chiếm đoạt.
 |
| Biện pháp xác thực bằng smart OTP của Vietcombank. |
Theo thông tin được ICTnews tìm hiểu, Vietcombank đang triển khai phương thức xác thực smart OTP trên ứng dụng VCB Digibank, yêu cầu khớp mã giao dịch. Nhiều ngân hàng khác như SCB, VPBank, Techcombank, NCB cũng áp dụng biện pháp bảo mật 2FA tương tự. Đáng chú ý, MSB đã sử dụng 2FA kết hợp với xác thực sinh trắc học. Tuy nhiên, vấn đề của các biện pháp bảo mật này là phụ thuộc vào ý thức bảo mật thông tin cá nhân của người dùng cuối.
Để chiếm đoạt tiền trong tài khoản theo cách này, tin tặc cần phải biết mật khẩu đăng nhập vào ứng dụng và phải có số điện thoại liên kết với tài khoản ngân hàng, trùng khớp với tài khoản đăng nhập vào ứng dụng. Khả năng mất cả hai thông tin này xảy ra khi người dùng bị lừa đăng nhập vào một trang web giả mạo, bị đánh lừa để nhập mã OTP lần đầu, dẫn đến mất quyền truy cập vào tài khoản trực tuyến ở các lần sau mà không hay biết, theo các chuyên gia.
Các chuyên gia nhận định rằng, mặc dù biện pháp bảo mật smart OTP này đã cải thiện hơn so với SMS OTP, nhưng vẫn đang kém hơn so với tiêu chuẩn toàn cầu. Theo quy định của Chỉ thị Dịch vụ Thanh toán (PSD2) do Liên minh châu Âu ban hành vào năm 2019, dịch vụ tài chính bắt buộc phải có xác thực hai lớp và tiến tới ba lớp. Ba lớp này bao gồm một lớp mà người dùng biết (ví dụ: mật khẩu), một lớp mà người dùng sở hữu (ví dụ: thẻ, USB) và một lớp xác định danh người dùng (ví dụ: giọng nói, vân tay, khuôn mặt).
Kết luận
Các phương pháp xác thực đa lớp đang dần thay thế mã OTP trên toàn cầu. Theo báo cáo của M&M, thị trường xác thực đa lớp được dự báo sẽ đạt giá trị 12,5 tỷ USD vào năm 2022, với mức tăng trưởng hàng năm dự kiến là 15,52%.