Hacker có thể “đọc trộm” mã OTP trên smartphone, rồi thực hiện giao dịch trên một thiết bị khác mà người dùng không biết.
Ngày 4/9, tài khoản của ông Trần Việt Luận (TP HCM) bị kích hoạt ứng dụng VCB Digibank trên thiết bị khác và chuyển 406 triệu cho người thụ hưởng tại MSB, SEABank trong vòng 7 phút. Vì không nhận được tin nhắn thông báo mã xác thực, biến động số dư qua điện thoại nên ông không phát hiện cho đến khi ra ngân hàng giao dịch.
“Trong năm qua, chúng tôi biết có nhiều vụ đánh cắp tài khoản ngân hàng mà hacker khai thác điểm yếu của công nghệ xác thực SMS OTP”, ông Nguyễn Tử Quảng, CEO Bkav nói. Ông cho rằng, vụ tài khoản ngân hàng “bốc hơi” 406 triệu đồng cũng liên quan đến việc hacker khai thác các điểm yếu này.
OTP (mật khẩu dùng một lần) gửi qua tin nhắn SMS là phương pháp xác thực bảo mật được sử dụng nhiều, nhất là trong những lĩnh vực như tài chính, ngân hàng. Chẳng hạn trong giao dịch chuyển tiền, dịch vụ sẽ yêu cầu người thực hiện nhập thêm mã OTP được gửi đến số điện thoại cá nhân để đảm bảo chính chủ thực hiện giao dịch. Dù là một bước trong quy trình bảo mật hai lớp, theo các chuyên gia bảo mật, OTP vẫn có thể bị hacker khai thác, đặc biệt là với người dùng smartphone.
Ông Quảng giải thích, hacker có ít nhất hai cách để lấy được mã OTP trong SMS của người dùng. Thứ nhất, hacker lừa nạn nhân nhập mã OTP vào một website giả mạo để chiếm mã; ngoài ra, chúng có thể lừa nạn nhân cài phần mềm gián điệp lên smartphone. Phần mềm gián điệp sẽ theo dõi tất cả thông tin, trong đó có tin nhắn SMS chứa mã OTP và các thông tin đăng nhập vào ứng dụng Mobile Banking. Với cả hai cách trên, hacker hoàn toàn có thể chiếm được mã OTP và thực hiện các giao dịch giả mạo.
Theo ông Quảng, điểm yếu lớn nhất của phương pháp SMS OTP là thiếu tính “chống chối bỏ”, tạo kẽ hở để hacker thực hiện các giao dịch ngân hàng trên một thiết bị lạ.
Thiếu tính “chống chối bỏ” nghĩa là hệ thống không thể xác minh được ai đang thực hiện giao dịch. Ví dụ, nếu kẻ xấu dụ người dùng truy cập một trang chuyển tiền giả mạo, mọi thông tin người dùng nhập vào sẽ được chuyển tới kẻ xấu. Khi đó, chúng sẽ có thông tin đăng nhập và mã OTP để thực hiện giao dịch ở một thiết bị khác. Hệ thống không có khả năng xác định ai thực hiện giao dịch trên. Theo ông Nguyễn Văn Cường, Trưởng phòng An ninh mạng của Bkav, hiện nay, nhiều nước trên thế giới đã ứng dụng các phương pháp bảo mật có tính “chống chối bỏ” nhằm khắc phục kẽ hở này. Mã xác thực sẽ được cung cấp cho một thiết bị duy nhất để đảm bảo an toàn và người dùng phải chịu trách nhiệm về việc bảo quản mã đó.
Trong sự cố của ông Trần Việt Luận, đại diện Vietcombank cho biết “đây là trường hợp nghi ngờ bị giả mạo giao dịch qua ứng dụng VCB Digibank dẫn đến bị rút tiền trong tài khoản”.
Tài khoản của khách hàng bị kích hoạt ứng dụng VCB Digibank trên thiết bị khác. Vietcombank dẫn xác nhận của nhà mạng cho thấy đã gửi tổng cộng 8 tin nhắn (4 tin xác thực và 4 tin biến động số dư) đến điện thoại khách hàng, trong khi người này không nhận được bất kỳ tin nhắn nào. Vụ việc này vẫn đang tiếp tục điều tra.
Ông Võ Đỗ Thắng, Giám đốc Trung tâm an ninh mạng Athena, người từng nhiều năm theo dõi tình hình an ninh mạng tại Việt Nam, cho biết việc tấn công tài khoản bằng cách khai thác mã OTP xảy ra khá thường xuyên thời gian qua, không chỉ ở Việt Nam mà trên toàn thế giới. Tuy nhiên, theo ông Thắng, yếu tố quyết định sự an toàn nằm ở người dùng chứ không phải phương pháp.
Ông cho rằng nguyên nhân chính của các vụ đánh cắp tài khoản đến từ sự chủ quan và thiếu kinh nghiệm tự bảo vệ của người dùng smartphone. Nhiều người thoải mái đăng nhập Wi-Fi công cộng, hoặc tải phần mềm gián điệp về máy mà không biết. Hacker hoàn toàn có thể khai thác thói quen này để lấy được mã OTP của người dùng. “Bảo mật hai lớp bằng OTP cũng sẽ trở nên kém an toàn nếu chúng ta sử dụng trên một thiết bị không an toàn”, ông Thắng nói.
Theo các chuyên gia bảo mật, người dùng có thể tự phòng tránh các nguy cơ bị chiếm tài khoản bằng cách không click vào các link lạ, đặc biệt là khi thực hiện giao dịch tiền bạc. Người dùng không cài đặt ứng dụng lạ từ các nguồn không chính thống. Khi cài đặt phần mềm mới, không cung cấp quá nhiều quyền cho các ứng dụng, như đọc SMS, truy cập Internet… nếu không cần thiết. Ngoài ra, những người smartphone cũng nên sử dụng các phần mềm chống mã độc để bảo vệ thiết bị.
Chuyên gia bảo mật Nguyễn Văn Cường cho rằng, các dịch vụ, đặc biệt dịch vụ ngân hàng cần có cảnh báo đến người dùng khi phát hiện đăng nhập từ một thiết bị mới. Ngoài ra, các đơn vị này có thể ứng dụng phương pháp bảo mật bằng chữ ký số. “Chữ ký số” là một thiết bị cắm ngoài, hoặc nằm trên thiết bị nhưng định danh gắn liền với thiết bị đó. Ưu điểm của chữ ký số là xác định được nguồn gốc người gửi, do đó nó có tính chất “chống chối bỏ” và được pháp luật bảo hộ theo Nghị Định 130/2018/NĐ-CP.
Mặc dù phương pháp này phổ biến trên thế giới và hiện được nhiều lĩnh vực tại Việt Nam như Hải Quan, Bảo hiểm, Thuế, sử dụng, ông Cường cho biết phương pháp này hiện chưa được các ngân hàng phát triển vì một số rào cản về pháp lý khi dùng trên di động. Đồng thời chữ ký số còn bất tiện hơn so với OTP khi chuyển đổi giao dịch giữa các thiết bị khác nhau.
Điều 159. Tội xâm phạm bí mật hoặc an toàn thư tín, điện thoại, điện tín hoặc hình thức trao đổi thông tin riêng tư khác của người khác
1. Người nào thực hiện một trong các hành vi sau đây, đã bị xử lý kỷ luật hoặc xử phạt vi phạm hành chính về hành vi này mà còn vi phạm, thì bị phạt cảnh cáo, phạt tiền từ 20.000.000 đồng đến 50.000.000 đồng hoặc phạt cải tạo không giam giữ đến 03 năm:
a) Chiếm đoạt thư tín, điện báo, telex, fax hoặc văn bản khác của người khác được truyền đưa bằng mạng bưu chính, viễn thông dưới bất kỳ hình thức nào;
b) Cố ý làm hư hỏng, thất lạc hoặc cố ý lấy các thông tin, nội dung của thư tín, điện báo, telex, fax hoặc văn bản khác của người khác được truyền đưa bằng mạng bưu chính, viễn thông;
c) Nghe, ghi âm cuộc đàm thoại trái pháp luật;
d) Khám xét, thu giữ thư tín, điện tín trái pháp luật;
đ) Hành vi khác xâm phạm bí mật hoặc an toàn thư tín, điện thoại, điện tín, telex, fax hoặc hình thức trao đổi thông tin riêng tư khác của người khác.
2. Phạm tội thuộc một trong các trường hợp sau đây, thì bị phạt tù từ 01 năm đến 03 năm:
a) Có tổ chức;
b) Lợi dụng chức vụ, quyền hạn;
c) Phạm tội 02 lần trở lên;
d) Tiết lộ các thông tin đã chiếm đoạt, làm ảnh hưởng đến danh dự, uy tín, nhân phẩm của người khác;
đ) Làm nạn nhân tự sát.
3. Người phạm tội còn có thể bị phạt tiền từ 5.000.000 đồng đến 20.000.000 đồng, cấm đảm nhiệm chức vụ nhất định từ 01 năm đến 05 năm.
Điều 174. Tội lừa đảo chiếm đoạt tài sản
1. Người nào bằng thủ đoạn gian dối chiếm đoạt tài sản của người khác trị giá từ 2.000.000 đồng đến dưới 50.000.000 đồng hoặc dưới 2.000.000 đồng nhưng thuộc một trong các trường hợp sau đây, thì bị phạt cải tạo không giam giữ đến 03 năm hoặc phạt tù từ 06 tháng đến 03 năm:
a) Đã bị xử phạt vi phạm hành chính về hành vi chiếm đoạt tài sản mà còn vi phạm;
b) Đã bị kết án về tội này hoặc về một trong các tội quy định tại các điều 168, 169, 170, 171, 172, 173, 175 và 290 của Bộ luật này, chưa được xóa án tích mà còn vi phạm;
c) Gây ảnh hưởng xấu đến an ninh, trật tự, an toàn xã hội;
d) Tài sản là phương tiện kiếm sống chính của người bị hại và gia đình họ; tài sản là kỷ vật, di vật, đồ thờ cúng có giá trị đặc biệt về mặt tinh thần đối với người bị hại.
2. Phạm tội thuộc một trong các trường hợp sau đây, thì bị phạt tù từ 02 năm đến 07 năm:
a) Có tổ chức;
b) Có tính chất chuyên nghiệp;
c) Chiếm đoạt tài sản trị giá từ 50.000.000 đồng đến dưới 200.000.000 đồng;
d) Tái phạm nguy hiểm;
đ) Lợi dụng chức vụ, quyền hạn hoặc lợi dụng danh nghĩa cơ quan, tổ chức;
e) Dùng thủ đoạn xảo quyệt;
g) Chiếm đoạt tài sản trị giá từ 2.000.000 đồng đến dưới 50.000.000 đồng nhưng thuộc một trong các trường hợp quy định tại các điểm a, b, c và d khoản 1 Điều này.
3. Phạm tội thuộc một trong các trường hợp sau đây, thì bị phạt tù từ 07 năm đến 15 năm:
a) Chiếm đoạt tài sản trị giá từ 200.000.000 đồng đến dưới 500.000.000 đồng;
b) Chiếm đoạt tài sản trị giá từ 50.000.000 đồng đến dưới 200.000.000 đồng nhưng thuộc một trong các trường hợp quy định tại các điểm a, b, c và d khoản 1 Điều này;
c) Lợi dụng thiên tai, dịch bệnh.
4. Phạm tội thuộc một trong các trường hợp sau đây, thì bị phạt tù từ 12 năm đến 20 năm hoặc tù chung thân:
a) Chiếm đoạt tài sản trị giá 500.000.000 đồng trở lên;
b) Chiếm đoạt tài sản trị giá từ 200.000.000 đồng đến dưới 500.000.000 đồng nhưng thuộc một trong các trường hợp quy định tại các điểm a, b, c và d khoản 1 Điều này;
c) Lợi dụng hoàn cảnh chiến tranh, tình trạng khẩn cấp.
5. Người phạm tội còn có thể bị phạt tiền từ 10.000.000 đồng đến 100.000.000 đồng, cấm đảm nhiệm chức vụ, cấm hành nghề hoặc làm công việc nhất định từ 01 năm đến 05 năm hoặc tịch thu một phần hoặc toàn bộ tài sản.
Luật sư bào chữa, Công ty luật Dragon Hà Nội
ĐOÀN LUẬT SƯ HÀ NỘI
CÔNG TY LUẬT DRAGON
Giám đốc - Thạc sĩ Luật sư: Nguyễn Minh Long Công ty luật chuyên:Hình sự - Thu hồi nợ - Doanh nghiệp – Đất Đai – Trọng tài thương mại – Hôn nhân và Gia đình.
Văn phòng luật sư quận Cầu Giấy: Phòng 6 tầng 14 tòa nhà VIMECO đường Phạm Hùng, phường Trung Hòa, quận Cầu Giấy, thành phố Hà Nội.
Văn phòng luật sư quận Long Biên: Số 24 ngõ 29 Phố Trạm, Phường Long Biên, Quận Long Biên, Hà Nội
Điện thoại: 1900 599 979 / 098.301.9109
Email: dragonlawfirm@gmail.com
Hệ thống Website:
www.vanphongluatsu.com.vn
www.congtyluatdragon.com
www.luatsubaochua.vn
www.dragonlaw.vn
#luatsubaochua #luatsutranhtung #luatsuhinhsu #luatsudatdai