- Bạn đọc gửi câu chuyện thật của bản thân hoặc người mình biết nếu được cho phép, không sáng tác hoặc lấy từ nguồn khác và hoàn toàn chịu trách nhiệm trước pháp luật về bản quyền của mình.
- Nội dung về các vấn đề gia đình: vợ chồng, con cái, mẹ chồng-nàng dâu... TTOL bảo mật thông tin, biên tập nội dung nếu cần.
- Bạn được: độc giả hoặc chuyên gia lắng nghe, tư vấn, tháo gỡ.
- Mục này không có nhuận bút.
Khách hàng bị "cướp" SIM, mất tiền do ngân hàng dùng công nghệ lạc hậu
Qua vụ việc hai khách hàng sử dụng dịch vụ Internet Banking bị "cướp" SIM, chiếm đoạt tiền trong tài khoản vừa xảy ra trong tháng 7/2013, vấn đề được đặt ra là người dùng cần lựa chọn dịch vụ ngân hàng sử dụng công nghệ an toàn hơn.
Qua vụ việc hai khách hàng sử dụng dịch vụ Internet Banking bị "cướp" SIM, chiếm đoạt tiền trong tài khoản vừa xảy ra trong tháng 7/2013, vấn đề được đặt ra là người dùng cần lựa chọn dịch vụ ngân hàng sử dụng công nghệ an toàn hơn.
Vì sao hai khách hàng dễ dàng bị "cướp" tiền?
Trao đổi với ICTnews, ông Dương Ngọc Lâm, Trưởng nhóm phần mềm Tập đoàn MK nhận định: hai trường hợp khách hàng tại Hà Nội và TP. Hồ Chí Minh vừa bị kẻ xấu chiếm đoạt SIM và “cướp” vài chục triệu đồng trong tài khoản đều sử dụng dịch vụ Internet Banking với phương thức xác thực hai nhân tố SMS OTP (One time password - mật khẩu dùng một lần).
Cụ thể hơn, khách hàng tham gia giao dịch trực tuyến sử dụng phương thức SMS OTP này được cấp tài khoản gồm UserID, Password tĩnh. Mỗi khi thực hiện mua bán, chuyển khoản… ứng dụng giao dịch trực tuyến yêu cầu khách hàng nhập mã OTP để xác nhận. Mã này được ứng dụng giao dịch trực tuyến gửi đến điện thoại di động của khách hàng qua tin nhắn SMS (tuỳ từng hệ thống quản lý mà SMS OTP có thể được thiết lập có hiệu lực trong một khoảng thời gian nhất định).
“Một số trường hợp máy tính của người dùng bị nhiễm phần mềm gián điệp như KeyLogger có thể bị đánh cắp UserID, Password khi nhập thông tin”, đại diện MK Group nhấn mạnh, đồng thời cho hay phương pháp xác thực SMS OTP hiện được rất nhiều tổ chức sử dụng, nếu chiếm đoạt được cả thẻ SIM (do “qua mặt” nhà mạng) thì kẻ gian có thể nhanh chóng lấy được số OTP, thực hiện giao dịch mà chủ thể quản lý không hề biết như hai trường hợp người dùng tại Hà Nội và TP.Hồ Chí Minh.
Chưa dừng lại ở đó, nếu như cơ chế bảo mật trên đường truyền giữa nhà cung cấp dịch vụ giao dịch trực tuyến và nhà mạng không an toàn thì mã OTP hoàn toàn có thể bị đánh cắp trước khi được gửi đến điện thoại của khách hàng.
Bên cạnh hình thức tấn công qua SMS OTP như đã đề cập ở trên, đại diện của MK Group cũng chỉ ra một hình thức tấn công khác rất phổ biến, đó là kẻ gian lừa khách hàng vào các trang giao dịch giả mạo có giao diện giống hệt trang giao dịch thật để lấy cắp thông tin, trang giả mạo này sẽ là “cầu nối” giữa khách hàng và ngân hàng (hình thức này gọi là Man-In-The-Middle). Ví dụ khi khách hàng thực hiện giao dịch chuyển khoản, trang giả mạo sẽ đánh cắp tất cả những thông tin khách hàng nhập vào, sau đó tự động chỉnh sửa các thông tin như số tiền, số tài khoản người nhận trước khi thực hiện giao dịch với trang giao dịch thật của nhà cung cấp dịch vụ mà khách hàng không hề biết.
“Đối với dạng tấn công này thì các giải pháp sinh OTP thông thường như SMS OTP sẽ không phòng chống được”, ông Dương Ngọc Lâm nhấn mạnh.
Cách nào để hạn chế rủi ro?
Như vậy, nếu khách hàng sử dụng SMS OTP thì việc giao dịch một phần sẽ bị phụ thuộc vào nhà mạng, cộng với việc tin nhắn OTP gửi đi là dạng không được mã hóa, do đó khó chủ động bảo vệ mình trước tấn công mạng. Vậy công nghệ nào có thể giúp người dùng giao dịch an toàn hơn?
Trao đổi thêm với ICTnews, đại diện MK Group tư vấn: Gửi OTP thông qua SMS chỉ nên áp dụng cho việc truy cập vào hệ thống để truy vấn thông tin tài khoản, hoặc các giao dịch có giá trị thấp. Còn với các giao dịch có giá trị cao nên áp dụng Token (thiết bị sinh mã xác thực ngẫu nhiên, mã này chỉ có giá trị sử dụng một lần) đang được một số ngân hàng và công ty chứng khoán trong nước sử dụng; và cao cấp hơn hướng tới việc sử dụng Token với mã PIN (Token PIN) để sinh mã OTP, ngân hàng trung ương ở nhiều nước trong khu vực đang bắt buộc áp dụng.
Cụ thể, Token PIN yêu cầu khách hàng phải nhập mã PIN thì mới sinh được OTP (mã PIN giống như mật khẩu tĩnh, khách hàng phải nhớ). Ngoài ra, Token là thiết bị điện tử cầm tay nhỏ gọn luôn đi cùng với khách hàng, thuộc quyền kiểm soát của chủ tài khoản nhiều hơn, giúp chủ động phòng chống mà không phụ thuộc vào nhà mạng, đồng thời đối tượng tấn công nếu chiếm được Token thì cũng khó thực hiện được giao dịch do không có mã PIN.
Ngoài ra, để an toàn và phòng chống hình thức tấn công Man-In-The-Middle, nhà cung cấp dịch vụ có thể cung cấp cho khách hàng các loại thiết bị Token PIN - có tính năng sinh OTP dạng thách thức/đáp ứng (Challenge/Response). Giải pháp này yêu cầu khi thực hiện giao dịch khách hàng phải nhập một vài thông tin như số tiền, số tài khoản và số PIN (gọi là các thách thức -PV) vào thiết bị để sinh OTP, sau đó khách hàng gửi mã OTP để hệ thống xác thực.
Nếu có bất kỳ thay đổi thông tin nào trên đường truyền thì hệ thống sẽ xác thực sai, vì khi hệ thống xác thực tính toán với những thông tin đã được sửa đổi thì sẽ ra một số OTP khác với số OTP mà khách hàng gửi đi. Như vậy, với giải pháp Token PIN thì nhà cung cấp dịch vụ và khách hàng có thể hạn chế được các hình thức tấn công trên.
Cũng theo đại diện MK Group, hiện nay một số nước như Singapore, Hồng Kông, Đài Loan... đã có quy định bắt buộc về việc áp dụng token có mã PIN và Challenge/Response để tăng cường bảo mật cho các giao dịch ngân hàng trực tuyến.
Tại Việt Nam, giải pháp OTP Keypass chính thức được giới thiệu từ khoảng giữa năm 2012, đang được một số công ty và tổ chức ngân hàng triển khai thử nghiệm.
Theo ICT News
-
Công nghệ22/12/2023VNPT Cyber Immunity với nền tảng quản lý An toàn thông tin (VNPT MSS) sẽ hỗ trợ doanh nghiệp tránh mất an toàn thông tin, lộ lọt dữ liệu, trước các cuộc tấn công từ trong và ngoài tổ chức.
-
Công nghệ16/11/2020Ngày 16/11 Công ty Cổ phần Nghiên cứu và Sản xuất VinSmart (Tập đoàn Vingroup) chính thức ra mắt Vsmart Bee Lite - mẫu điện thoại thông minh được trang bị tính năng 4G, mức giá thấp chưa từng có.
-
Công nghệ14/07/2020Chỉ trong một quãng thời gian ngắn, TikTok trở thành "mạng xã hội đáng sợ nhất thế giới". Tại sao ứng dụng Trung Quốc bị tẩy chay dữ dội như vậy?
-
Công nghệ24/06/2020iOS 14 mang đến vô số tiện ích mới lạ và tiện dụng trên dòng sản phẩm iPhone của Apple.
-
Công nghệ24/06/2020Với những bước đơn giản dưới đây, người dùng đã hạn chế thấp nhất nguy cơ bị hacker tấn công chiếm quyền Facebook.
-
Công nghệ24/06/2020Số lượng vụ trộm cướp tiền điện tử tăng nhanh trong năm 2019, các đối tượng cũng có xu hướng thực hiện các vụ trộm với quy mô lớn hơn.
-
Công nghệ23/06/2020Sắc lệnh vừa được tổng thống Mỹ ký sẽ cắt đứt nguồn cung lao động nước ngoài quan trọng cho các công ty công nghệ.
-
Công nghệ23/06/2020Đặc biệt với chị em công sở càng nên nắm vững để không mất tài khoản và thông tin cá nhân đáng tiếc nhé!
-
Công nghệ23/06/2020Nhiều thương hiệu lớn đang tẩy chay quảng cáo trên Facebook để phản đối việc yếu kém trong xử lý ngôn từ thù địch và thông tin sai lệch của mạng xã hội này.
-
Công nghệ23/06/2020Hệ điều hành mới dành cho iPhone hỗ trợ widget tại màn hình chính, cho phép xem video trong khi làm việc khác, cập nhật tính năng cho các phần mềm khác.
-
Công nghệ23/06/2020Apple bước vào Hội nghị WWDC 2020 trong lúc phải đối mặt với làn sóng phản ứng gay gắt nhất từ giới công nghệ kể từ khi App Store “chào đời" năm 2008.
-
Công nghệ22/06/2020FaceApp là ứng dụng đang “gây sốt” trên mạng xã hội với tính năng “chuyển đổi giới tính”. Tuy nhiên, có thông tin cho rằng ứng dụng này lấy cắp thông tin người dùng, liệu điều này có chính xác?
-
Công nghệ22/06/2020Khi xe sắp hết nhiên liệu, trước khi qua đoạn đường ngập nước, trước khi tắt máy,... là những thời điểm mà điều hoà trên ô tô cần phải được tắt.
-
Công nghệ22/06/2020Là một trong những ứng dụng phổ biến ở Việt Nam, nhưng TikTok đang bị liệt kê vào danh sách cấm từ phía Ấn Độ vì có nguồn gốc xuất xứ từ Trung Quốc.