Đề nghị thay công nghệ SMS OTP bằng chữ ký số

“Hôm qua, dư luận quan tâm đến vụ việc một chủ tài khoản Vietcombank bị đánh cắp 406 triệu VNĐ chỉ trong vài phút. Với tôi thì sự việc này là điều không ngạc nhiên. Trong một năm qua, chúng tôi biết đã có nhiều vụ việc tương tự và với nhiều ngân hàng khác nhau, không chỉ Vietcombank.

Theo nhận định của tôi, hacker đã khai thác điểm yếu của công nghệ xác thực SMS OTP. Có 2 cách để khai thác điểm yếu của công nghệ này: Cách thứ nhất hacker lừa nạn nhân nhập mã SMS OTP vào một website giả mạo; Cách thứ hai lừa nạn nhân cài phần mềm gián điệp chiếm quyền điều khiển của thiết bị di động.

Với vai trò của một Tập đoàn về An ninh mạng, Bkav đã ít nhất 2 lần cảnh báo rộng rãi về việc công nghệ xác thực SMS OTP không đảm bảo an toàn.

Nói về trách nhiệm, trong trường hợp này, khách hàng là người chịu thiệt khi bị hacker qua mặt bằng các thủ đoạn tinh vi. Và công nghệ SMS OTP không có tính “chống chối bỏ”, tức là không có đủ cơ sở để chỉ ra ai là người thực hiện giao dịch.

Vậy có giải pháp cho vấn đề này hay không ? Câu trả lời là có. Chúng tôi đã tư vấn cho Ngân hàng Nhà nước Việt Nam ban hành quy định về giao dịch sử dụng Chữ ký số để thay thế cho SMS OTP.

Hiện Ngân hàng Nhà nước Việt Nam đã ban hành quy định bắt buộc áp dụng với tất cả các ngân hàng, tuy nhiên hạn mức để bắt buộc phải sử dụng Chữ ký số đang còn ở mức cao, cụ thể giao dịch phải trên 500 triệu mới phải sử dụng Chữ ký số.

Để khắc phục những trường hợp lừa đảo như thế này, tôi kiến nghị phải hạ thấp hạn mức giao dịch xuống, tiến tới loại bỏ công nghệ SMS OTP tại các ngân hàng ở Việt Nam giống như một số nước phát triển đang áp dụng.

Về phía người dùng, các bạn cần cài đặt phần mềm diệt virus trên máy tính để chống đánh cắp dữ liệu website và cài phần mềm chống mã độc trên thiết bị di động của mình để ngăn chặn các phần mềm gián điệp, chiếm quyền kiểm soát điện thoại”.

 Bkav phân tích kịch bản đánh cắp tiền

Trước đó,  một chủ tài khoản Vietcombank phát hiện bị “bốc hơi” 406 triệu đồng trong tài khoản. Tài khoản của nạn nhân được xác định có 4 giao dịch phát sinh, lần lượt chuyển toàn bộ số tiền bị mất nói trên đến các tài khoản thuộc 2 ngân hàng khác trong vòng 7 phút. Chủ tài khoản khẳng định, bản thân không thực hiện các giao dịch trên và cũng không biết người thụ hưởng là ai.

Bkav nhận định, nấu chốt của vấn đề là, trong khi nạn nhân cho biết không hề nhận được tin nhắn thông báo mã xác thực, biến động số dư bằng SMS qua điện thoại như thông lệ, phía ngân hàng cho biết đã ghi nhận 4 giao dịch chuyển khoản nói trên đều hợp lệ và đã có 8 tin nhắn được gửi đến số điện thoại của chủ tài khoản.

Một điểm đáng lưu ý khác, theo Vietcombank tài khoản trên ứng dụng VCB Digibank của nạn nhân đã được kích hoạt trên một thiết bị khác và thực hiện lệnh chuyển tiền trong khi chủ tài khoản khẳng định không cung cấp, chia sẻ tên truy cập dịch vụ hay mật khẩu VCB Digibank cho bất cứ ai.
“Vụ việc như thế này thực tế không phải là duy nhất. Đáng tiếc là chúng xảy ra ngày càng nhiều và tại nhiều ngân hàng khác nhau. Vậy, lỗ hổng của những vụ việc này nằm ở đâu? Bằng cách nào, kẻ xấu đã qua mặt cả chủ tài khoản và sự kiểm soát của ngân hàng để đánh cắp số tiền lớn như vậy? Những nghiên cứu của chúng tôi cho thấy, lỗ hổng ở đây chính là điểm yếu công nghệ trong phương thức xác thực SMS OTP. Kẻ xấu đã lợi dụng điều này để tấn công phishing (tấn công lừa đảo) mà nạn nhân không hề hay biết.
Chúng tôi nhận định có hai kịch bản mà hacker có thể dựng lên để lừa người sử dụng:
Kịch bản đầu tiên, kẻ xấu sẽ lừa nạn nhân nhập mã OTP vào một website giả mạo (ngân hàng, dịch vụ chuyển tiền…) để chiếm mã OTP, từ đó tạo ra giao dịch chuyển tiền giả mạo.
Kịch bản thứ hai là kẻ xấu sẽ lừa nạn nhân cài đặt một phần mềm gián điệp trên điện thoại. Phần mềm này sẽ theo dõi tất cả thông tin, trong đó có tin nhắn SMS chứa mã OTP và các thông tin đăng nhập vào ứng dụng Mobile Banking. Một khi lấy được các thông tin này, hacker sẽ có thể tạo ra các giao dịch chuyển tiền giả mạo”, bản phân tích của Bkav chỉ rõ.

Liên quan đến điểm yếu bảo mật của phương thức xác thực OTP, mới đây vào tháng 6/2020, Bkav đã đưa ra cảnh báo về một phần mềm gián điệp có tên VN84App. Phần mềm này đánh cắp dữ liệu người dùng Việt Nam, đặc biệt tập trung đánh cắp các mã SMS OTP.

Ông Ngô Tuấn Anh, Phó chủ tịch phụ trách an ninh mạng của Bkav, ông Tuấn Anh chia sẻ: “Việc quy trách nhiệm ngân hàng đúng hay khách hàng đúng, sẽ không thể xử lý được triệt để bởi OTP là công nghệ không có tính ‘chống chối bỏ’, nghĩa là không có khả năng xác định chính xác và quy trách nhiệm ai thực hiện giao dịch. Giải pháp duy nhất hiện nay đáp ứng về mặt công nghệ và pháp lý của chống chối bỏ là chữ ký số”.
Tuy nhiên, theo quy định hiện hành của Ngân hàng nhà nước Việt Nam, hạn mức giao dịch trực tuyến ở mức rất cao mới yêu cầu sử dụng chữ ký số, do đó không khuyến khích được các ngân hàng hay khách hàng sử dụng giải pháp đảm bảo này. “Chúng tôi cho rằng Ngân hàng nhà nước nên điều chỉnh hạn mức này thấp hơn để chữ ký số được sử dụng nhiều hơn, các giao dịch được đảm bảo an toàn”, ông Tuấn Anh cho biết thêm.
Các chuyên gia cũng cho biết đối với người sử dụng, cần cảnh giác trước các chiêu thức tấn công lừa đảo của kẻ xấu, đồng thời cài đặt thường trực phần mềm phòng chống mã độc trên máy tính và thiết bị di động của mình.