Điểm yếu công nghệ trong phương thức xác thực SMS OTP là nguyên nhân hacker có thể kiểm soát được điện thoại người dùng, đánh cắp dữ liệu, tài khoản ngân hàng và “hô biến” hàng trăm triệu đồng của nạn nhân.

Điều này đã được Bkav cảnh báo tới cộng đồng. Mới đây, vụ việc “bốc hơi 406 triệu đồng” của một chủ tài khoản thuộc ngân hàng Vietcombank, một lần cho thấy mức độ nguy hiểm của các lỗ hổng công nghệ. Trong khi chủ tài khoản khẳng định không thực hiện các giao dịch, không biết người thụ hưởng là ai, phía ngân hàng cho biết đã có tới 4 lần chuyển tiền hợp lệ đối với số tiền nói trên. Thông tin chi tiết về vụ việc có thể xem tại đây.

Các chuyên gia của Bkav nhận định, kẻ xấu đã lợi dụng điểm yếu công nghệ của OTP để tấn công phishing (tấn công lừa đảo) mà nạn nhân không hay biết.

Kịch bản của hacker là lừa nạn nhân nhập mã OTP vào một website giả mạo (ngân hàng, dịch vụ chuyển tiền…) để chiếm mã OTP, từ đó tạo ra giao dịch chuyển tiền giả mạo. Một cách khác, kẻ xấu lừa nạn nhân cài đặt một phần mềm gián điệp trên điện thoại. Phần mềm này sẽ theo dõi tất cả thông tin, trong đó có tin nhắn SMS chứa mã OTP và các thông tin đăng nhập vào ứng dụng Mobile Banking. Một khi lấy được các thông tin này, hacker sẽ có thể tạo ra các giao dịch chuyển tiền giả mạo.

OTP là công nghệ không có tính ‘chống chối bỏ’, nghĩa là không có khả năng xác định chính xác và quy trách nhiệm ai thực hiện giao dịch. Giải pháp duy nhất hiện nay đáp ứng về mặt công nghệ và pháp lý của chống chối bỏ là chữ ký số. Do đó, chữ ký số cần được khuyến khích sử dụng nhiều hơn.

Người sử dụng cần cảnh giác trước các chiêu thức tấn công lừa đảo của kẻ xấu, đặc biệt, cần cài đặt thường trực phần mềm phòng chống mã độc trên máy tính và thiết bị di động của mình.

Sơ đồ mô phỏng cách thức VN84App đánh cắp dữ liệu người dùng​

Bkav