Từ vụ “bỗng dưng” mất tiền trong tài khoản: Coi chừng phần mềm đánh cắp mã SMS OTP

0:00 / 0:00
0:00
  • Nam miền Bắc
  • Nữ miền Bắc
  • Nữ miền Nam
  • Nam miền Nam
ANTD.VN -  Theo diễn đàn Hacker Mũ trắng (WhiteHat.vn), kẻ xấu đã lợi dụng lỗ hổng công nghệ để tấn công phishing (tấn công lừa đảo) mà nạn nhân không hề hay biết.
Sơ đồ mô phỏng cách thức VN84App đánh cắp dữ liệu người dùng
Sơ đồ mô phỏng cách thức VN84App đánh cắp dữ liệu người dùng

Liên quan tới vụ một chủ tài khoản Vietcombank phát hiện bị “bốc hơi” 406 triệu đồng trong tài khoản, theo thông tin báo chí đã đăng tải, tài khoản của nạn nhân được xác định có 4 giao dịch phát sinh, lần lượt chuyển toàn bộ số tiền bị mất nói trên đến các tài khoản thuộc 2 ngân hàng khác trong vòng 7 phút. Chủ tài khoản khẳng định, bản thân không thực hiện các giao dịch trên và cũng không biết người thụ hưởng là ai.

Trong khi nạn nhân cho biết không hề nhận được tin nhắn thông báo mã xác thực, biến động số dư bằng SMS qua điện thoại như thông lệ, phía ngân hàng cho biết đã ghi nhận 4 giao dịch chuyển khoản nói trên đều hợp lệ và đã có 8 tin nhắn được gửi đến số điện thoại của chủ tài khoản.

Theo Vietcombank, tài khoản trên ứng dụng VCB Digibank của nạn nhân đã được kích hoạt trên một thiết bị khác và thực hiện lệnh chuyển tiền trong khi chủ tài khoản khẳng định không cung cấp, chia sẻ tên truy cập dịch vụ hay mật khẩu VCB Digibank cho bất cứ ai.

Theo WhiteHat.vn, ở trường hợp này, lỗ hổng là điểm yếu công nghệ trong phương thức xác thực SMS OTP. Kẻ xấu đã lợi dụng điều này để tấn công phishing (tấn công lừa đảo) mà nạn nhân không hề hay biết. WhiteHat.vn nhận định có hai kịch bản mà hacker có thể dựng lên để lừa người sử dụng.

Một là kẻ xấu sẽ lừa nạn nhân nhập mã OTP vào một website giả mạo (ngân hàng, dịch vụ chuyển tiền…) để chiếm mã OTP, từ đó tạo ra giao dịch chuyển tiền giả mạo.

Hai là kẻ xấu lừa nạn nhân cài đặt một phần mềm gián điệp trên điện thoại. Phần mềm này sẽ theo dõi tất cả thông tin, trong đó có tin nhắn SMS chứa mã OTP và các thông tin đăng nhập vào ứng dụng Mobile Banking.

Một khi lấy được các thông tin này, hacker sẽ có thể tạo ra các giao dịch chuyển tiền giả mạo. Liên quan đến điểm yếu bảo mật của phương thức xác thực OTP, tháng 6/2020, Bkav đã đưa ra cảnh báo về một phần mềm gián điệp có tên VN84App.

Phần mềm này đánh cắp dữ liệu người dùng Việt Nam, đặc biệt tập trung đánh cắp các mã SMS OTP.

Nêu quan điểm về vấn đề này, ông Ngô Tuấn Anh- Phó chủ tịch phụ trách an ninh mạng của Bkav cho rằng: “Việc quy trách nhiệm ngân hàng đúng hay khách hàng đúng sẽ không thể xử lý được triệt để bởi OTP là công nghệ không có tính ‘chống chối bỏ’, nghĩa là không có khả năng xác định chính xác và quy trách nhiệm ai thực hiện giao dịch.

Giải pháp duy nhất hiện nay đáp ứng về mặt công nghệ và pháp lý của chống chối bỏ là chữ ký số”.

Tuy nhiên, theo quy định hiện hành của Ngân hàng Nhà nước Việt Nam, hạn mức giao dịch trực tuyến ở mức rất cao mới yêu cầu sử dụng chữ ký số, do đó không khuyến khích được các ngân hàng hay khách hàng sử dụng giải pháp đảm bảo này.

Do đó, ông Ngô Tuấn Anh kiến nghị Ngân hàng Nhà nước nên điều chỉnh hạn mức xuống thấp hơn để sử dụng chữ ký số.

Ngoài ra, người dùng cần cài đặt phần mềm phòng chống mã độc trên máy tính và thiết bị di động để được đảm bảo an toàn khi giao dịch.