Khách hàng bị "cướp" SIM, mất tiền do ngân hàng dùng công nghệ lạc hậu

Qua vụ việc hai khách hàng sử dụng dịch vụ Internet Banking bị "cướp" SIM, chiếm đoạt tiền trong tài khoản vừa xảy ra trong tháng 7/2013, vấn đề được đặt ra là người dùng cần lựa chọn dịch vụ ngân hàng sử dụng công nghệ an toàn hơn.

Vì sao hai khách hàng dễ dàng bị "cướp" tiền?

Trao đổi với ICTnews, ông Dương Ngọc Lâm, Trưởng nhóm phần mềm Tập đoàn MK nhận định: hai trường hợp khách hàng tại Hà Nội và TP. Hồ Chí Minh vừa bị kẻ xấu chiếm đoạt SIM và “cướp” vài chục triệu đồng trong tài khoản đều sử dụng dịch vụ Internet Banking với phương thức xác thực hai nhân tố SMS OTP (One time password - mật khẩu dùng một lần).

Cụ thể hơn, khách hàng tham gia giao dịch trực tuyến sử dụng phương thức SMS OTP này được cấp tài khoản gồm UserID, Password tĩnh. Mỗi khi thực hiện mua bán, chuyển khoản… ứng dụng giao dịch trực tuyến yêu cầu khách hàng nhập mã OTP để xác nhận. Mã này được ứng dụng giao dịch trực tuyến gửi đến điện thoại di động của khách hàng qua tin nhắn SMS (tuỳ từng hệ thống quản lý mà SMS OTP có thể được thiết lập có hiệu lực trong một khoảng thời gian nhất định).

“Một số trường hợp máy tính của người dùng bị nhiễm phần mềm gián điệp như KeyLogger có thể bị đánh cắp UserID, Password khi nhập thông tin”, đại diện MK Group nhấn mạnh, đồng thời cho hay phương pháp xác thực SMS OTP hiện được rất nhiều tổ chức sử dụng, nếu chiếm đoạt được cả thẻ SIM (do “qua mặt” nhà mạng) thì kẻ gian có thể nhanh chóng lấy được số OTP, thực hiện giao dịch mà chủ thể quản lý không hề biết như hai trường hợp người dùng tại Hà Nội và TP.Hồ Chí Minh.

Chưa dừng lại ở đó, nếu như cơ chế bảo mật trên đường truyền giữa nhà cung cấp dịch vụ giao dịch trực tuyến và nhà mạng không an toàn thì mã OTP hoàn toàn có thể bị đánh cắp trước khi được gửi đến điện thoại của khách hàng.

Bên cạnh hình thức tấn công qua SMS OTP như đã đề cập ở trên, đại diện của MK Group cũng chỉ ra một hình thức tấn công khác rất phổ biến, đó là kẻ gian lừa khách hàng vào các trang giao dịch giả mạo có giao diện giống hệt trang giao dịch thật để lấy cắp thông tin, trang giả mạo này sẽ là “cầu nối” giữa khách hàng và ngân hàng (hình thức này gọi là Man-In-The-Middle). Ví dụ khi khách hàng thực hiện giao dịch chuyển khoản, trang giả mạo sẽ đánh cắp tất cả những thông tin khách hàng nhập vào, sau đó tự động chỉnh sửa các thông tin như số tiền, số tài khoản người nhận trước khi thực hiện giao dịch với trang giao dịch thật của nhà cung cấp dịch vụ mà khách hàng không hề biết.

“Đối với dạng tấn công này thì các giải pháp sinh OTP thông thường như SMS OTP sẽ không phòng chống được”, ông Dương Ngọc Lâm nhấn mạnh.

Cách nào để hạn chế rủi ro?

Như vậy, nếu khách hàng sử dụng SMS OTP thì việc giao dịch một phần sẽ bị phụ thuộc vào nhà mạng, cộng với việc tin nhắn OTP gửi đi là dạng không được mã hóa, do đó khó chủ động bảo vệ mình trước tấn công mạng. Vậy công nghệ nào có thể giúp người dùng giao dịch an toàn hơn?

Trao đổi thêm với ICTnews, đại diện MK Group tư vấn: Gửi OTP thông qua SMS chỉ nên áp dụng cho việc truy cập vào hệ thống để truy vấn thông tin tài khoản, hoặc các giao dịch có giá trị thấp. Còn với các giao dịch có giá trị cao nên áp dụng Token (thiết bị sinh mã xác thực ngẫu nhiên, mã này chỉ có giá trị sử dụng một lần) đang được một số ngân hàng và công ty chứng khoán trong nước sử dụng; và cao cấp hơn hướng tới việc sử dụng Token với mã PIN (Token PIN) để sinh mã OTP, ngân hàng trung ương ở nhiều nước trong khu vực đang bắt buộc áp dụng.

Cụ thể, Token PIN yêu cầu khách hàng phải nhập mã PIN thì mới sinh được OTP (mã PIN giống như mật khẩu tĩnh, khách hàng phải nhớ). Ngoài ra, Token là thiết bị điện tử cầm tay nhỏ gọn luôn đi cùng với khách hàng,  thuộc quyền kiểm soát của chủ tài khoản nhiều hơn, giúp chủ động phòng chống mà không phụ thuộc vào nhà mạng, đồng thời đối tượng tấn công nếu chiếm được Token thì cũng khó thực hiện được giao dịch do không có mã PIN.

Ngoài ra, để an toàn và phòng chống hình thức tấn công Man-In-The-Middle,  nhà cung cấp dịch vụ có thể cung cấp cho khách hàng các loại thiết bị Token PIN - có tính năng sinh OTP dạng thách thức/đáp ứng (Challenge/Response). Giải pháp này yêu cầu khi thực hiện giao dịch khách hàng phải nhập một vài thông tin như số tiền, số tài khoản và số PIN (gọi là các thách thức -PV) vào thiết bị để sinh OTP, sau đó khách hàng gửi mã OTP để hệ thống xác thực.

Nếu có bất kỳ thay đổi thông tin nào trên đường truyền thì hệ thống sẽ xác thực sai, vì khi hệ thống xác thực tính toán với những thông tin đã được sửa đổi thì sẽ ra một số OTP khác với số OTP mà khách hàng gửi đi. Như vậy, với giải pháp Token PIN thì nhà cung cấp dịch vụ và khách hàng có thể hạn chế được các hình thức tấn công trên.

Cũng theo đại diện MK Group, hiện nay một số nước như Singapore, Hồng Kông, Đài Loan... đã có quy định bắt buộc về việc áp dụng token có mã PIN và Challenge/Response để tăng cường bảo mật cho các giao dịch ngân hàng trực tuyến.

Tại Việt Nam, giải pháp OTP Keypass chính thức được giới thiệu từ khoảng giữa năm 2012, đang được một số công ty và tổ chức ngân hàng triển khai thử nghiệm.

Theo ICT News