VnReview
Hà Nội

Vụ tài khoản Vietcombank 'bốc hơi' 406 triệu trong vài phút: Chuyên gia nhận định mã xác thực OTP bị hack

Mới đây, một người sử dụng dịch vụ của Vietcombank đã phát hiện bị lấy trộm 406 triệu đồng trong tài khoản của mình. Nguyên nhân của sự việc được do là cho từ điểm yếu bảo mật xác thực OTP.

Tài khoản ngân hàng 'bốc hơi' 406 triệu trong vài phút

Ngày 4/10, ông Trần Việt Luận sống ở quận Thủ Đức (TP.HCM) cho biết tài khoản Vietcombank của bản thân bỗng dưng mất 406 triệu đồng. Tài khoản của người này được xác định phát sinh 4 giao dịch chuyển khoản, lần lượt chuyển tiền đến các tài khoản thuộc 2 ngân hàng khác trong 7 phút. Vì không nhận được tin nhắn thông báo mã xác thực (OTP) nên ông Luận không phát hiện ra sự việc cho đến khi ra ngân hàng vào chiều cùng ngày.

Chủ tài khoản khẳng định bản thân không thực hiện giao dịch nói trên và cũng không biết người thụ hưởng là ai. Khi phát hiện sự việc, ông đã đưa điện thoại cho nhân viên ngân hàng kiểm chứng không nhận được tin nhắn và đề nghị lập biên bản, dừng ngay các giao dịch. Lúc này, trong tài khoản của người này chỉ còn 5 triệu đồng.

Trong công văn trả lời khách hàng, Vietcombank cho viết tài khoản của ông Luận có đăng nhập trên thiết bị mới và chuyển tiền hợp lệ. Nhà mạng Vinaphone cũng xác nhận ngân hàng gửi tổng cộng 8 tin nhắn xác thực và biến động số dư đến điện thoại ông Luận. Như vậy, số điện thoại của ông Luận đã nhận được tin nhắn xác thực OTP và biến động số dư nhưng sim cài trong máy lại không hề nhận được những tin nhắn này.

Không chỉ vậy, tài khoản của ông Luận cũng được kích hoạt trên thiết bị khác dù người này khẳng định không cung cấp, chia sẻ tên truy cập dịch vụ hay mật khẩu VCB Digibank cho bất cứ ai.

Lý giải về sự việc nói trên, diễn đàn Cộng đồng An ninh mạng Việt Nam (Whitehat.vn) cho rằng lỗ hổng đến từ điểm yếu công nghệ trong phương thức xác thực SMS OTP. Kẻ xấu đã lợi dụng điều này để tấn công phishing (tấn công lừa đảo) mà nạn nhân không hề hay biết. Diễn đàn này cũng nhận định có 2 kịch bản mà hacker có thể dựng lên để lừa người sử dụng:

- Kịch bản đầu tiên, kẻ xấu sẽ lừa nạn nhân nhập mã OTP vào một website giả mạo (ngân hàng, dịch vụ chuyển tiền…) để chiếm mã OTP, từ đó tạo ra giao dịch chuyển tiền giả mạo.

- Kịch bản thứ hai là kẻ xấu sẽ lừa nạn nhân cài đặt một phần mềm gián điệp trên điện thoại. Phần mềm này sẽ theo dõi tất cả thông tin, trong đó có tin nhắn SMS chứa mã OTP và các thông tin đăng nhập vào ứng dụng Mobile Banking. Một khi lấy được các thông tin này, hacker sẽ có thể tạo ra các giao dịch chuyển tiền giả mạo.

Liên quan đến điểm yếu bảo mật của phương thức xác thực OTP, tháng 6/2020 Bkav đã đưa ra cảnh báo về một phần mềm gián điệp có tên VN84App. Phần mềm này đánh cắp dữ liệu người dùng Việt Nam, đặc biệt tập trung đánh cắp các mã SMS OTP.

Về giải pháp để tránh các sự việc tương tự có thể xảy ra, ông Ngô Tuấn Anh, Phó chủ tịch phụ trách an ninh mạng của Bkav chia sẻ: 'Việc quy trách nhiệm ngân hàng đúng hay khách hàng đúng, sẽ không thể xử lý được triệt để bởi OTP là công nghệ không có tính ‘chống chối bỏ', nghĩa là không có khả năng xác định chính xác và quy trách nhiệm ai thực hiện giao dịch. Giải pháp duy nhất hiện nay đáp ứng về mặt công nghệ và pháp lý của chống chối bỏ là chữ ký số'.

Tuy nhiên, theo quy định hiện hành của Ngân hàng nhà nước Việt Nam, hạn mức giao dịch trực tuyến ở mức rất cao mới yêu cầu sử dụng chữ ký số, do đó không khuyến khích được các ngân hàng hay khách hàng sử dụng giải pháp đảm bảo này. Ông Ngô Tuấn Anh cho biết thêm: 'Chúng tôi cho rằng Ngân hàng nhà nước nên điều chỉnh hạn mức này thấp hơn để chữ ký số được sử dụng nhiều hơn, các giao dịch được đảm bảo an toàn'.

T.T

Chủ đề khác