Liên quan đến vụ việc khách hàng Vietcombank bị mất 500 triệu đồng gần đây đang gây xôn xao dư luận, ngay sau vụ việc này, Vietcombank cho biết, sau khi chiếm thông tin của chị Na Hương thông qua một đường link giả mạo, hacker đã tự cài đặt và kích hoạt dịch vụ Smart OTP và thực hiện việc chuyển tiền, đấy là lí do chị Hương không nhìn thấy tin nhắn SMS thông báo mã OTP trên điện thoại của mình.
 |
| Đánh cắp mã xác thực OTP có thể là một trong những cách để đánh cắp tiền trong giao dịch ngân hàng. |
Vậy OTP là gì? OTP là viết tắt ba chữ cái đầu tiên của One-Time-Password, tạm dịch là mật khẩu dùng một lần. Mật mã OTP chỉ dùng một lần rồi bỏ đi vì không còn tác dụng sau đó nữa.
Khi muốn thực hiện giao dịch chuyển tiền qua Internet, bạn cần có tài khoản (account)/mật khẩu (password) để đăng nhập trên website hoặc mobile app trên điện thoại di động. Vậy có mật khẩu sao lại chưa đủ, mà lại cần OTP nữa? Vì lý do bảo mật, hệ thống cần biết bạn là “người chủ tài khoản thật” chứ không phải các hệ thống được lập trình để hack tài khoản.
Trên thực tế, tại bước cuối cùng của giao dịch chuyển tiền, hệ thống của ngân hàng sẽ gửi mã OTP qua email, SMS hoặc qua một thiết bị gọi là Token để hoàn tất giao dịch. Email, SMS hay Token là thiết bị riêng tư của mỗi người, trừ khi bạn bị lộ mật khẩu hay đánh mất Token vào tay kẻ xấu, nếu không thì khó mà hack được cả account đăng nhập/email lẫn điện thoại của bạn để lấy OTP.
Smart OTP là một phần mềm được cài đặt trên các thiết bị di động (điện thoại di động, máy tính bảng), cho phép người dùng chủ động lấy mã xác thực OTP cho các giao dịch trên Internet Banking của Vietcombank. Đây cũng là hình thức xác nhận được nhiều ngân hàng khác áp dụng.
Với hình thức này, thay vì nhận SMS về số điện thoại đã đăng ký trước đó, khách hàng sẽ thấy mã OTP hiển thị trên phần mềm này (cài trên thiết bị di động). Tuy nhiên, dịch vụ của ngân hàng lại không bắt buộc thiết bị di động cài Smart OTP nêu trên phải mang số điện thoại đã đăng ký với ngân hàng (số vẫn nhận OTP thông thường).
Điều này đồng nghĩa với việc người dùng có thể cài phần mềm Smart OTP cho tài khoản của mình ở một máy điện thoại khác. Đây có thể là lỗ hổng giúp kẻ gian có thể nhận mã Smart OTP khi giao dịch, sau khi đã chiếm được thông tin tài khoản, mật khẩu trong lần chị Na Hương truy cập nhầm vào website giả mạo.
Trong khi đó, một chuyên gia trong lĩnh vực thanh toán điện tử cho rằng, nếu sử dụng phương thức xác thực Smart OTP, ngân hàng nên yêu cầu khách hàng dùng phần mềm trên cùng một thiết bị di động và số điện thoại đó phải là số đã đăng ký với ngân hàng.
Vậy bỗng nhiên vào một ngày đẹp trời, tiền trong tài khoản của bạn bỗng chốc bay hơi, nhưng điện thoại không hề nhận được một SMS OTP nào để xác nhận giao dịch, điều gì đã xảy ra?
Lừa đảo qua phising email/fake website (email giả mạo, website lừa đảo)
– Hacker đánh lừa nạn nhân bằng một email giả mạo với nội dung hấp dẫn: nhận thưởng bất ngờ, thanh toán hóa đơn,… Đường link trong email này sẽ dẫn đến 1 website fake nhưng có giao diện/ tính năng giống hoàn toàn với website thật của ngân hàng.
– Website fake yêu cầu người dùng đăng nhập với username/password và một số thông tin khác.
 |
| Những ứng dụng dạng soft token key rất phổ biến - nhưng đi kèm nhiều hiểm nguy! |
Đến đây, chúng ta hẳn sẽ thắc mắc, phải xác nhận giao dịch bằng mã OTP nữa mà, làm sao hacker có thể lấy được OTP từ điện thoại của người dùng để chuyển tiền thành công?
Câu trả lời đến từ Smart OTP – việc ủy quyền cho 1 thiết bị khác, không phải là điện thoại của người dùng – có thể sinh ra mã có tác dụng tương đương với OTP để hoàn thành giao dịch.
Để dễ hiểu, Smart OTP là một dạng soft token key – phần mềm cung cấp mã OTP được cài trên điện thoại di động của khách hàng và gắn duy nhất với tài khoản đăng nhập eBank. Phần mềm này thường do ngân hàng phát triển và chỉ hết giá trị sử dụng khi hủy dịch vụ.
Bình thường mỗi lần thực hiện chuyển tiền, người dùng sẽ nhận được OTP qua tin nhắn để xác thực. Nhưng nếu sử dụng Smart OTP, ứng dụng này sẽ chỉ yêu cầu xác thực qua số điện thoại lần đầu tiên – và duy nhất.
Từ thời điểm đó, khi người dùng có nhu cầu chuyển tiền, họ chỉ việc nhập mã giao dịch vào ứng dụng Smart OTP để nhận được 1 mã khác (có tác dụng tương tự OTP) để xác thực giao dịch trên Internet Banking.
Tóm lại, việc sử dụng Smart OTP trên một thiết bị khác cũng giống như bạn tiết lộ cho người khác mã két của bạn, việc còn lại mà họ cần làm là đi tìm chiếc chìa khóa – công việc đơn giản hơn rất nhiều.
Thế mới biết, trong thời đại công nghệ, tiện chưa chắc đã lợi – nhất là đối với những hệ thống có cơ chế bảo mật lỏng lẻo như hiện nay.
Linh Chi (Tổng hợp theo GenK, Zing)