Xác thực giao dịch qua SMS OTP có lỗ hổng

Sau vụ một khách hàng (KH) ở TP HCM mất hơn 400 triệu đồng trong tài khoản qua ứng dụng ngân hàng (NH), lãnh đạo một số NH cho biết vẫn có khả năng mã OTP (mã xác thực giao dịch một lần) gửi qua tin nhắn SMS đến số điện thoại đã đăng ký của KH bị chiếm đoạt dẫn đến mất tiền.

Không giao dịch vẫn mất hàng trăm triệu đồng

Liên quan đến vụ việc ông Trần Việt Luận (ngụ TP HCM) bị mất 406 triệu đồng trong tài khoản NH, NH nơi KH này mở tài khoản cho biết đây là trường hợp nghi ngờ bị giả mạo qua ứng dụng NH số dẫn đến bị rút tiền.

Theo phản ánh của ông Luận, thời điểm các giao dịch phát sinh, ông không nhận được mã OTP gửi qua tin nhắn SMS, cũng không nhận được thông báo biến động số dư phát sinh giao dịch... Theo ghi nhận từ kết quả rà soát dữ liệu giao dịch của KH và thông tin từ cung cấp dịch vụ gửi tin nhắn, các giao dịch đã được thực hiện theo đúng thông tin định danh của chủ tài khoản (tên tài khoản, mật khẩu và mã OTP). Các tin nhắn thông báo mã OTP và biến động số dư liên quan giao dịch đã được gửi thành công tới số điện thoại của KH. Một số chuyên gia an ninh mạng cho rằng kẻ gian chiếm đoạt tiền của chủ tài khoản có thể đã khai thác điểm yếu của công nghệ xác thực OTP gửi qua SMS. Một số NH thương mại cũng phân tích những khả năng mã OTP bị chiếm đoạt dẫn đến mất tiền dù các NH luôn chú trọng đầu tư lớn cho khâu này. Theo các NH, rủi ro mất tiền trong hoạt động thanh toán ở giai đoạn nào cũng có, khi hoạt động thanh toán không dùng tiền mặt ngày càng nhiều.

Ông Trần Thái Bình, Giám đốc Khối Công nghệ thông tin NH TMCP Sài Gòn Thương Tín (Sacombank), phân tích thiết bị di động của KH bị nhiễm phần mềm gián điệp (virus). "Nhiều trường hợp mất tiền trong tài khoản gần đây xảy ra tại các NH thương mại, hầu hết là do khách hàng vô tình cung cấp thông tin cho kẻ gian, giá trị giao dịch bị đánh cắp rơi vào hạn mức của SMS OTP" - ông Bình nói.

Nhiều vụ mất tiền trong tài khoản do kẻ gian khai thác điểm yếu của công nghệ xác thực OTP gửi qua SMS

Áp dụng phương thức xác thực đa kênh

Theo ông Trần Thái Bình, ngoài SMS OTP (chỉ được giao dịch với giá trị thấp), hiện Sacombank đã triển khai nhiều phương thức xác thực có tính năng bảo mật cao hơn. Chẳng hạn, mSign là ứng dụng chạy trên thiết bị di động, cung cấp tính năng duyệt giao dịch qua 2 phương thức: mCode cung cấp OTP và mConnected, cho phép KH xem rõ chi tiết giao dịch trên mSign trước khi duyệt. Đồng thời, Sacombank cũng áp dụng Token nâng cao có tính năng ký trên giao dịch (tương tác với ứng dụng e-banking để tạo ra các mã số duyệt giao dịch). Hay chữ ký số cũng đang áp dụng cho KH doanh nghiệp và tính năng này đang được hoàn tất cho KH cá nhân trong năm nay. "Các phương thức xác thực bảo mật cao nêu trên đều yêu cầu đăng nhập để xác định chủ sở hữu trước khi duyệt giao dịch" - ông Bình thông tin.

NH Bản Việt đang triển khai các giải pháp bảo mật để phát hiện và ngăn chặn tấn công của hacker vào hệ thống, giải pháp xác thực KH an toàn (như Smart OTP, sinh trắc học), giải pháp bảo vệ ứng dụng tránh bị giả mạo, nhận biết và ngăn chặn giao dịch đáng ngờ. Theo đại diện NH Bản Việt, sắp tới sẽ kết hợp một số phương thức xác thực sinh trắc học dựa trên khuôn mặt... nhằm giảm thiểu rủi ro trong giao dịch thanh toán. Tại NH TMCP Tiên Phong (TPBank), ngoài SMS OTP, NH này đang cung cấp 2 giải pháp khác là Hard Token và eToken. eToken là ứng dụng bảo mật được cài ngay trên điện thoại di động để lấy mã OTP và gắn duy nhất với một tài khoản đăng nhập app TPBank của KH, với các mã số được thay đổi liên tục theo từng phút; các giao dịch có giá trị lớn hơn sẽ có mã OTP nâng cao, gắn liền với từng giao dịch để tăng tính an toàn. "Đây là phương thức xác thực 2 lớp bảo đảm bảo mật tối đa cho KH khi thực hiện các giao dịch online, có thể lấy mã xác thực ngay trên ứng dụng di động của KH mà không cần thông qua hệ thống của bên thứ ba (nhà mạng viễn thông). NH đang nghiên cứu để bảo vệ tốt hơn cho KH khi cần đổi phương thức xác thực, kết hợp nhiều kênh, chứ không chỉ phụ thuộc vào việc nhập đúng OTP" - đại diện TPBank thông tin.