Biện pháp bảo vệ tài khoản ngân hàng cuối cùng không còn an toàn

T.L

08:06 15/08/2016

BizLIVE - Sau sự việc người dùng bỗng nhiên bị mất 500 triệu trong tài khoản ngân hàng do đã đăng nhập vào một trang web giả mạo thì mới đây các chuyên gia bảo mật đã phát hiện trang web dịch vụ mật khẩu OTP của ngân hàng bảo mật kém và chính ngân hàng cũng đã phải cập nhật ứng dụng OTP của mình.

Biện pháp bảo vệ tài khoản ngân hàng cuối cùng không còn an toàn

Ảnh minh họa.

Mới đây sau khi khách hàng Hoàng Thị Na Hương bỗng nhiên bị chuyển 500 triệu đồng từ tài khoản Vietcombank của mình vào đêm ngày 4 tháng 8 sang một số tài khoản khác, Vietcombank đã lên tiếng về vụ việc. 
Theo đó khách hàng này đã bị mất tên đăng nhập và mật khẩu dịch vụ Internet banking của mình vì nhập thông tin vào trang web giả mạo ngân hàng. Ngoài ra, việc chuyển tiền từ tải khoản của chị Hương sang những ngân hàng khác mà không có tin nhắn OTP gửi về là do kẻ xấu đã kích hoạt một dịch vụ SmartOTP để có thể thực hiện được hành vi của mình.
Trong khi phía ngân hàng cho rằng nguyên nhân của vụ việc là do khách hàng bị lộ thông tin từ trang web giả mạo và hệ thống của ngân hàng luôn an toàn thì một số chuyên gia bảo mật và cả người dùng đã chỉ ra chính hệ thống OTP của Vietcombank có vấn đề.
Ngân hàng này trong ngày hôm qua cũng đã phải đưa ra một bản cập nhật cho ứng dụng với nội dung bản cập nhật do có quy trình đăng ký sử dụng mới tại ngân hàng. 
Bảo mật tự chứng nhận đã hết hạn và muốn thêm OTP nào cũng được?
Đây là điều được chuyên gia bảo mật độc lập Nguyễn Hồng Phúc phát hiện và đăng tải trên Facebook cá nhân mình. Địa chỉ nhận dữ liệu ứng dụng Smart OTP của Vietcombank (VCB) hiện nay là https://smartotp.vietcombank.com.vn/ mặc dù sử dụng chứng chỉ số bảo mật HTTPS/SSL/TLS nhưng chứng chỉ này lại không do một tổ chức nào cấp mà do VCB tự cấp. Ngoài ra chứng chỉ này cũng đã hết hạn được 9 tháng.
Chứng chỉ bảo mật của trang web SmartOTP đã hết hạn từ 2015
Ông cũng nhận định chứng chỉ bảo mật được xác nhận bởi các tổ chức cấp chứng chỉ uy tín sẽ có nhiều niềm tin từ khách hàng hơn. Tuy nhiên về nguyên tắc, việc sử dụng chứng chỉ số bảo mật vẫn có thể đảm bảo an toàn nếu thực hiện đúng chính xác các điều kiện bảo mật. 
Nhưng hệ thống OTP này của VCB vẫn còn một số kẽ hở khác và những người dùng đã phát hiện và chia sẻ sau vụ việc.
Anh Nguyễn Ngọc Long và một số người dùng khác cho biết, cách đây vài ngày, VCB cho phép người dùng tự thêm một số điện thoại khác để nhận OTP qua trang web ngân hàng.
Nếu đúng như vậy, kẻ xấu trong vụ chị Na Hương sau khi có mật khẩu và tên đăng nhập của chị có thể tự thêm số điện thoại của mình như một số nhận OTP, từ đó kích hoạt dịch vụ SmartOTP. 
Ứng dụng SmartOTP của Vietcombank được cập nhật ngày 13/8  
Tuy nhiên, đến nay, SmartOTP được kích hoạt bằng cách thêm số điện thoại của người dùng đã không còn khả năng sử dụng và yêu cầu kích hoạt lại bằng số điện thoại ban đầu. Ứng dụng SmartOTP trên iOS cũng đã có cập nhật. Diễn giải duy nhất về bản cập nhật này là “Update theo quy trình đăng ký sử dụng mới tại Vietcombank”. 
Một số chuyên gia cho rằng cập nhật này có thể để ngăn chặn các nguy cơ về bảo mật, bổ sung tính năng mới nhưng có thể để thay đổi cho phù hợp với quy trình kích hoạt ở đã nêu ở trên.
Hàng rào cuối cùng đã không còn an toàn
OTP được các ngân hàng tại Việt Nam sử dụng chủ yếu ở dạng tin nhắn SMS. Trong những ngày qua, hàng loạt các phương pháp tấn công để chiếm mật khẩu này từ người dùng đã được các chuyên gia đưa ra.
Đơn giản nhất với các smartphone là làm cho những máy này nhiễm mã độc. Sau khi bị nhiễm mã, kẻ xấu sẽ đọc tin nhắn chứa mã OTP của người dùng, chuyển về cho hacker sau đó xóa tin nhắn này trên máy nạn nhân. OTP qua SMS còn có khả năng sao chép bởi các hình thức tấn công khác thông qua mạng di động.
Trong trường hợp máy của nạn nhân không hề bị nhiễm mã độc hay xâm nhập, kẽ hở sẽ nằm ở việc ủy quyền hiển thị mã OTP trên một thiết bị khác. Trong trường hợp của chị Hương sẽ ở ứng dụng SmartOTP.  
Cách an toàn nhất hiện nay đó là sử dụng những thiết bị không thể tấn công hoặc nhiễm mã độc làm thiết bị nhận OTP. Những thiết bị này có thể là một chiếc điện thoại cơ bản như Nokia 1280 hoặc yêu cầu ngân hàng cấp thiết bị Token chuyên dụng. 
Ngoài ra khi thực hiện giao dịch tại bất kỳ trang web nào, người dùng nên kiểm tra ngay chứng chỉ an toàn của trang web đó, và cả xác nhận chính địa chỉ trang web có phải thật sự của đơn vị mình muốn giao dịch không. 
Đây là những việc cần thiết mà người dùng có thể làm để hạn chế những nguy cơ mất an toàn với tài khoản ngân hàng của mình.

T.L

Từ khóa: vietcombank, hacker

BizLIVE - Gặp gỡ