Đã đến lúc các ngân hàng loại bỏ phương thức xác thực SMS OTP?

Bị rút mất 406 triệu đồng trong vòng 7 phútNgày 5/9 vừa qua, báo chí đưa tin ông Trần Việt Luận, ngụ tại quận Thủ Đức (TP.HCM) trình báo việc bị rút trái phép 406 triệu đồng trong tài khoản Vietcombank.

Theo ông Luận, chiều 4/9, khi ông ra ngân hàng Vietcombank chi nhánh Nam Bình Dương làm thủ tục rút tiền thì được thông báo tài khoản chỉ còn 5 triệu đồng. Ông Luận “tá hỏa” khi đinh ninh tài khoản của ông có số dư hơn 400 triệu đồng. Sau khi thắc mắc, phía ngân hàng thông báo: vào trưa cùng ngày tài khoản của ông Luận đã thực hiện 4 giao dịch chuyển khoản với tổng giá trị 406 triệu đồng. Các giao dịch diễn ra trong vòng 7 phút từ 11h đến 11h07.

Ông Luận cho biết mình không hề nhận được tin nhắn SMS với mã OTP để thực hiện các giao dịch nói trên. Ông khẳng định 4 giao dịch không phải do mình thực hiện và cũng không quen biết người thụ hưởng giao dịch. Ông nói rằng mình không chia sẻ mật khẩu tài khoản cho người nào khác.

Phía ngân hàng Vietcombank khẳng định 4 giao dịch được thực hiện hoàn toàn hợp lệ khi người giao dịch đã nhập đúng tên truy cập, mật khẩu và mã OTP gửi đến tin nhắn điện thoại.

Hiện vụ việc đã được bàn giao cho phía công an để xác minh.

Mã OTP gửi qua tin nhắn là phương thức không an toàn?

Một số chuyên gia bảo mật đồng tình với nhận định rằng phương thức xác thực bằng mã OTP gửi qua tin nhắn điện thoại là không an toàn. Rõ ràng, kẻ xấu đã đọc được tin nhắn của ngân hàng gửi về điện thoại của ông Luận nên 4 lần đều nhập mã OTP chính xác, từ đó thực hiện việc rút/chuyển tiền trái phép.

Theo nhóm chuyên gia an ninh mạng của BKAV (đề cập trong một bài viết trên trang whitehat.vn), có 2 khả năng mà kẻ xấu có thể khai thác để chiếm đoạt tiền của nạn nhân. Thứ nhất, kẻ xấu có thể lừa nạn nhân đăng nhập vào một trang web giả mạo ngân hàng, nhập mã OTP, qua đó kẻ xấu có thể sử dụng thông tin đăng nhập và mã OTP này để tiến hành các giao dịch thật tại ngân hàng.

Thứ hai là trong quá trình sử dụng điện thoại thông minh, nạn nhân đã vô tình cài đặt phần mềm gián điệp ngụy trang dưới dạng các ứng dụng tiện ích. Phần mềm gián điệp này có thể đánh cắp mọi thông tin, trong đó có cả tài khoản, mật khẩu đăng nhập và mã OTP gửi từ ngân hàng. Hồi tháng 6/2020, BKAV đã từng đưa ra cảnh báo về một phần mềm gián điệp có tên là VN84App. Phần mềm này chuyên đánh cắp dữ liệu từ người dùng Việt Nam, đặc biệt tập trung đánh cắp các mã SMS OTP.

Lỗ hổng từ 3 bên liên quan

Như vậy, theo nhận định của nhóm chuyên gia bảo mật BKAV nói trên thì lỗ hổng nhiều khả năng đến từ phía người dùng khi họ bị lừa truy cập vào trang web giả mạo hoặc điện thoại bị nhiễm mã độc.

Nhưng một chuyên gia đang sống tại Singapore khi trả lời phỏng vấn tờ Zing lại cho rằng lỗ hổng có thể đến từ 3 bên: ngân hàng, nhà mạng và khách hàng.

Nếu như ở phía khách hàng có thể từ 2 nguyên nhân đã nêu ở trên, thì lỗ hổng ở phía ngân hàng có thể nằm ở giải thuật OTP đã bị đoán được hoặc máy chủ của ngân hàng đã bị tin tặc xâm nhập.

Về phía nhà mạng – đơn vị trung gian truyền tải tin nhắn SMS OTP – lỗ hổng có thể đến từ tín hiệu truyền tải bị giải mã, máy chủ bị xâm nhập hoặc SIM của người dùng bị sao chép trái phép.

Như vậy, rõ ràng hình thức xác thực bằng mã OTP qua tin nhắn là không hề an toàn bởi nó có thể tồn tại lỗ hổng ở cả 3 bên.

Còn theo ông Ngô Tuấn Anh – Phó Chủ tịch phụ trách an ninh mạng của BKAV thì việc quy trách nhiệm cho khách hàng hay ngân hàng có lỗi sẽ không triệt để bởi OTP là công nghệ có tính “chống chối bỏ”, có nghĩa là không có khả năng xác định chính xác và quy trách nhiệm ai thực hiện giao dịch.

Giải pháp nào khả thi nhất để đảm bảo an toàn cho khách hàng?

 Có lẽ cũng biết được hình thức xác thực SMS OTP không đủ an toàn nên ngay từ 1/7/2019, một số ngân hàng đã tiến hành chuyển đổi phương thức xác thực đối với các giao dịch có giá trị lớn. Chẳng hạn như Vietcombank đã chuyển các giao dịch trên 100 triệu đồng từ hình thức SMS OTP sang hình thức Smart OTP (mã OTP được sinh ra ngay trong ứng dụng ngân hàng trên điện thoại người dùng), đồng thời ngừng cung cấp dịch vụ với các thiết bị di động có hệ điều hành iOS thấp hơn 8.0 và Android thấp hơn 6.0.

Cũng tương tự, từ ngày 1/7/2019, ngân hàng Việt Nam Thịnh vượng (VP Bank) cũng chuyển các giao dịch trên 100 triệu đồng của khách hàng cá nhân sang hình thức Smart OTP. Còn ngân hàng TMCP Kiên Long (Kienlongbank) thì giao dịch tiền giá trị lớn sẽ được chuyển sang hình thức eToken.

Tuy nhiên, với các giao dịch dưới 100 triệu đồng/lượt, nhiều ngân hàng vẫn đang áp dụng hình thức SMS OTP. Như vậy, kẻ xấu vẫn có thể lợi dụng điều này bằng cách thực hiện nhiều giao dịch để rút được một số tiền lớn giống như trường hợp của ông Trần Việt Luận kể trên.

Ông Nguyễn Tử Quảng, CEO BKAV, nói rằng ông không hề ngạc nhiên trước sự việc của ông Trần Việt Luận, bởi trong vài năm qua đã có những vụ việc tương tự xảy ra với nhiều ngân hàng khác nhau, không chỉ Vietcombank.

Về giải pháp khắc phục tình trạng này, ông Nguyễn Tử Quảng cho rằng nên áp dụng chữ ký số trong các giao dịch điện tử thay cho SMS OTP. Ông đã tư vấn cho Ngân hàng Nhà nước ban hành quy định sử dụng chữ ký số. Tuy nhiên hiện nay hạn mức bắt buộc sử dụng chữ ký số là các giao dịch trên 500 triệu đồng.

Ông Quảng kiến nghị nên hạ thấp hạn mức giao dịch để loại bỏ công nghệ SMS OTP tại các ngân hàng ở Việt Nam.

Ông Nguyễn Tử Quảng (ngồi giữa) CEO BKAV

Đối với người dùng, ông Quảng khuyến cáo nên cài đặt phần mềm chống virus trên máy tính và ứng dụng chống mã độc trên thiết bị di động thông minh để ngăn ngừa nguy cơ bị thu thập thông tin nhạy cảm.

Hiện nay một số ngân hàng cũng đã áp dụng các phương pháp bảo mật tiên tiến, chẳng hạn như ngân hàng TMCP Công thương Việt Nam (VietinBank) đã áp dụng giải pháp xác thực iPay Mobile mang tên Soft OTP. Với giải pháp này, mã OTP được sinh ra ngẫu nhiên theo thời gian thực rồi tự động điền vào tại màn hình xác thực giao dịch. Mã này được sinh ra từ một hệ thống mã độc lập, sử dụng thuật toán riêng không thể làm giả, không thể can thiệp hay thay đổi nội dung mã. Trường hợp mã OTP bị sửa và nhập sai quá 5 lần, dịch vụ sẽ tự động khóa trong 24h.

Ngân hàng TMCP Hàng hải Việt Nam cũng có tính năng xác thực bằng sinh trắc học và Soft Token. Trong khi phương thức sinh trắc học sử dụng nhận dạng vân tay hoặc khuôn mặt khách hàng, thì Soft Token được bảo mật bằng công nghệ 3 lớp đem đến độ an toàn cao hơn, ít rủi ro hơn cho các giao dịch.